Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Tak, system jest zainfekowany - figuruje tu szkodliwa usługa VSSS oraz wpis Load, są również odpadki adware. Dodatkowo, katastrofa w antywirusach, równolegle działają Avast i Panda. Podejrzewam też, że oba są zdefektowane na skutek działania punktowanej infekcji. Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [103389504 2015-06-23] (Microsoft Corporation) [brak podpisu cyfrowego] S2 WdsManPro; C:\ProgramData\DWdsManProD\WdsManPro.exe [451720 2015-09-11] (DTools LIMITED) S3 HH10Help.sys; \??\C:\Windows\system32\drivers\HH10Help.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msmunrq.exe HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Policies\Explorer: [] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\64fdhpj4.default\extensions\deskCutv2@gmail.com => nie znaleziono C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi C:\Program Files\MY2AMKE2.exe C:\Program Files\XX9T1TH1.exe C:\ProgramData\msijtfivn.exe C:\ProgramData\msmunrq.exe C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Piotrek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Piotrek\AppData\Roaming\sweet-page C:\Windows\SysWOW64\MSIHANDLE CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systeu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Infekcja wyłączyła Przywracanie systemu. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C. Obrazki konfiguracji w przyklejonym: KLIK. 3. Przez Panel sterowania odinstaluj Adobe Reader XI (11.0.13) - Polish, Akamai NetSession Interface oraz antywirusy. Jeśli któryś z nich poprawnie działa, to zostaw ten konkretny. Jeśli oba nie działają, to oba. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  2. picasso
    Sufiks *.ccc oznacza, że odszyfrowanie danych jest awykonalne. To nowszy wariant TeslaCrypt z ulepszonym algorytmem i zabezpieczeniem uniemożliwiającym ten proceder poprzez zamknięcie pewnej "luki" wykorzystywanej przez TeslaDecoder (widzę pobrany na dysku). Jedyna opcja to szukać poprzednich wersji plików: 1. Program do odzyskiwania danych typu TestDisk. Ta metoda głównie nie działa przy bieżących infekcjach szyfrujących, ale zawsze można próbować. Przy czym, im dłużej działa komputer (non stop zapisy na dysku), tym mniejsze szanse na odzyskanie czegokolwiek. Tym gorzej, że tu nadal działa infekcja w tle, co poświadczają raporty FRST i GMER, i trzeba ją usunąć w pierwszej kolejności. To już będzie kolejny "zapis na dysku". 2. Szukanie kopii w Przywracaniu systemu raczej odpada. Po pierwsze: TeslaCrypt kasuje wszystkie punkty Przywracania systemu. Po drugie: Przywracanie systemu tu nawet nie działa poprawnie, czyli z wielkim prawdopodobieństwem żadnego nagrywania punktów nawet nie było: ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik Aplikacja: ================== Error: (10/19/2015 06:18:54 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Tworzenie wystąpienia serwera VSS Nie jestem w stanie nic zrobić z zaszyfrowanymi danymi. Jedyne co jest w mojej mocy, to usunięcie aktywnej infekcji oraz dodanych przez infekcję plików HOWTO_RESTORE_FILES_*. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [261815374] => C:\ProgramData\msdued.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer\Run: [960596286] => C:\ProgramData\msnthxwd.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer\Run: [116841540] => C:\ProgramData\msonz.exe [114176 2009-07-14] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM-x32\...\Run: [etcfg] => C HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [HideSCAHealth] 1 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> DefaultScope {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL = SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL = Task: {0E752D0C-6347-460C-BF30-E51C4D5A8978} - System32\Tasks\{3ADFF182-FA32-4186-9019-86E32362B8E9} => pcalua.exe -a "E:\Pełne wersje\ArcaVir 2013 Antivirus\ArcaSetup2013-PL-32bit.exe" -d "E:\Pełne wersje\ArcaVir 2013 Antivirus" Task: {1AA441E0-9E67-4EFB-B654-6B29246AA747} - System32\Tasks\{BCA36E23-3AC7-4452-983C-159459CDAF58} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {4D358F92-8224-459F-B211-305D75E0C203} - System32\Tasks\{EB9D1A24-9B69-4EF9-9DCC-834F468B5B7C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {7A530317-2DD2-4B9B-80EC-EAB4A2029CBB} - System32\Tasks\{53170ECA-8E78-48E0-BDC1-9CBC8DCD3CDD} => C:\Program Files (x86)\Kolekcja Klasyki\The Bard's Tale\splash.exe Task: {840BE216-9334-4DF0-BDF4-6C5A6B29DA3D} - System32\Tasks\{D514E643-CCF3-4ADA-8889-0D67D8DA0D9B} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {8FB702A2-6A21-4D2D-A5D2-A420A3EA889E} - System32\Tasks\{94A61A7D-5A82-42DD-8413-B45A98D3FB61} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {B4C161C6-9521-4C60-AFBF-2EE20D145A72} - System32\Tasks\{8B04FD41-D22E-4622-924E-E5CA855DB73C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe Task: {C2228432-D675-4E4B-9BB8-A1110FAC6A1A} - System32\Tasks\{C3956E19-23F6-402D-885B-D536FFBAD1D6} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe AV: ArcaVir (Enabled - Out of date) {632ED295-5EE3-505D-F3D3-32EAED41EB7A} AS: ArcaVir (Enabled - Out of date) {D84F3371-78D9-5FD3-C963-099896C6A1C7} C:\ProgramData\*.exe C:\Users\JS\daemonprocess.txt.ccc C:\Users\JS\AppData\Roaming\*.exe C:\Users\JS\Documents\recover_file_iymhonqer.txt RemoveDirectory: C:\ProgramData\ArcaBit RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\JS\AppData\Local\cache RemoveDirectory: C:\Users\JS\AppData\Local\genienext RemoveDirectory: C:\Users\JS\AppData\Local\Mobogenie RemoveDirectory: C:\Users\JS\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\JS\Documents\Mobogenie CMD: netsh advfirewall reset CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s CMD: del /q /s C:\HOWTO_RESTORE_FILES_* CMD: del /q /s D:\HOWTO_RESTORE_FILES_* CMD: del /q /s F:\HOWTO_RESTORE_FILES_* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie wszystkich plików HOWTO_RESTORE_FILES_* z wszystkich dysków. Gdyby się nie zmieścił, to shostuj go gdzieś i podlinkuj.
  3. picasso
    1. AdwCleaner dopatrzył się jeszcze rozmaitych szczątków adware. Uruchom go ponownie i zastosuj sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń ręcznie pobrane skanery i ich logi z folderu C:\logi. Następnie popraw narzędziem DelFix. To tyle.
  4. picasso
    1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Toolbar: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" C:\Program Files (x86)\Opera C:\Users\Admin\AppData\Local\Opera Software C:\Users\Admin\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Zainstaluj najnowszą wersję Google Chrome. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  5. picasso
    System jest zainfekowany - dużo aktywnych obiektów startowych, na dodatek są tu też liczne odpadki po niepoprawnie usuniętej w przeszłości infekcji ZeroAccess oraz ślady wskazujące, że uszkodzone przez ZA usługi nie zostały naprawione w pełni. Prócz tego są też odpadki po adware. O zgrozo, działają równolegle dwa antywirusy, w tym jeden strasznie stary. Ogólnie: dużo do roboty. Akcje do wdrożenia: 1. Odinstaluj stare programy oraz oba antywirusy: Ad-Aware Antivirus, Adobe AIR, Adobe Flash Player 11 ActiveX 64-bit, Adobe Flash Player 17 NPAPI, Adobe Reader XI (11.0.13) - Polish, AVG 2012, Java 7 Update 13, Java™ 6 Update 29, JavaFX 2.1.1, RealPlayer. Następnie jeszcze dla pewności wejdź w Tryb awaryjny i zastosuj AVG Remover. Po użyciu go opuść tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hksynhd.lnk [2015-10-17] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maker.lnk [2015-09-01] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlservr.vbs [2015-09-26] () Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\webaddon.lnk [2015-09-13] Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webhttp.lnk [2015-09-29] HKU\S-1-5-21-941783235-1361993633-579621791-1000\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kamil\AppData\Roaming\sqlservr.vbs" HKLM\...\Run: [] => [X] BootExecute: autocheck autochk * bddel.exe Winsock: Catalog5 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll Brak pliku UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1383056942&from=cor&uid=WDCXWD3200AAKS-22B3A0_WD-WCAT1258761487614 Task: {672E0A93-8BF7-4AD8-9C5E-894B60046657} - System32\Tasks\Ad-Aware Update (Weekly) => D:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {894D80E5-831F-44F9-AC97-8E01CBD6A4AA} - System32\Tasks\{471D4949-ED62-45FC-B754-49C01F3A8917} => pcalua.exe -a "D:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=10 Task: {AFF9D0A6-CB76-4A37-8420-2FFCD5AC1299} - System32\Tasks\{3E118610-D306-4B7B-9F61-99148660BEC2} => pcalua.exe -a "D:\Program Files (x86)\mflpro_c1\Data\Disk1\setup.exe" -d "D:\Program Files (x86)\mflpro_c1\Data\Disk1" S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\ \...\‮ﯹ๛\{c9569680-9a07-5c7d-6fad-9f64d8d19ca2}\GoogleUpdate.exe" R2 vToolbarUpdater13.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [711112 2012-11-10] () S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [452040 2015-01-22] (BitDefender S.R.L.) U4 Amon; Brak ImagePath U4 Apvxd; Brak ImagePath U4 Apvxdw in; Brak ImagePath U4 Apvxdwin; Brak ImagePath U4 Atrack; Brak ImagePath U4 AvconsoleE XE; Brak ImagePath U4 avgcc3 2; Brak ImagePath U4 avgcc32; Brak ImagePath S4 AVGIDSFilter; system32\DRIVERS\avgidsfiltera.sys [X] U4 avgser v9; Brak ImagePath U4 avgserv9; Brak ImagePath U4 AVG_CC; Brak ImagePath U4 AVPCC; Brak ImagePath U4 AVPCC Service; Brak ImagePath U4 BlackI ce Utility; Brak ImagePath U4 BlackIce Utility; Brak ImagePath U4 CcApp; Brak ImagePath U4 CcRegVfy; Brak ImagePath U4 ConfigSafe; Brak ImagePath U4 CPD_EX E; Brak ImagePath U4 CPD_EXE; Brak ImagePath U4 Defwat ch; Brak ImagePath U4 Defwatch; Brak ImagePath U4 dvpapi 9x; Brak ImagePath U4 dvpapi9x; Brak ImagePath U4 F-StopW; Brak ImagePath U4 Fix-it; Brak ImagePath U4 Fix-it AV; Brak ImagePath U4 Freedo m; Brak ImagePath U4 Freedom; Brak ImagePath U4 iamapp; Brak ImagePath U4 Look 'n' Stop; Brak ImagePath U4 McAfee Firewall; Brak ImagePath U4 McAfee Winguage; Brak ImagePath U4 McAfee.Ins tantUpdate.Monitor; Brak ImagePath U4 McAfee.Instant Update.Monitor; Brak ImagePath U4 McAfeeViru sScanService; Brak ImagePath U4 McAfeeVirusSca nService; Brak ImagePath U4 NAV Agent; Brak ImagePath U4 NAV Configuration Wizard; Brak ImagePath U4 NAV DefAlert; Brak ImagePath U4 Nod32C C; Brak ImagePath U4 Nod32CC; Brak ImagePath U4 NOD32P OP3; Brak ImagePath U4 NOD32POP3; Brak ImagePath U4 Norton Auto-Protect; Brak ImagePath U4 Norton eMail Protect; Brak ImagePath U4 Norton Navigaton Loader; Brak ImagePath U4 Norton Program Event Checker; Brak ImagePath U4 Norton Program Scheduler; Brak ImagePath U4 NPS Event Checker; Brak ImagePath U4 Panda Scheduler; Brak ImagePath U4 ScanInicio; Brak ImagePath U4 SharedAcce ss; Brak ImagePath U4 SymTra y - Norton SystemWorks; Brak ImagePath U4 SymTray - Norton SystemWorks; Brak ImagePath U4 Tiny Personal Firewall; Brak ImagePath U4 TrueVector; Brak ImagePath U4 VirusS can Online; Brak ImagePath U4 VirusScan Online; Brak ImagePath U4 ZoneAl arm; Brak ImagePath U4 ZoneAlarm; Brak ImagePath C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive\ArmA 2 Free C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overgrowth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware C:\Users\Kamil\AppData\Local\jv16PT_temp.tmp C:\Users\Kamil\AppData\Local\Temphkcmd.exe C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{2099566C-54E2-4293-9BF6-051E702EA662} C:\Users\Kamil\AppData\Roaming\*.exe C:\Users\Kamil\AppData\Roaming\7e381c24.dat C:\Users\Kamil\AppData\Roaming\sqlservr.vbs C:\Users\Kamil\Desktop\Mount & Blade Uniloader Serial Crack — skrót.lnk C:\Users\Kamil\Desktop\punisher — skrót.lnk C:\Windows\pss\ARCHIVER.lnk.Startup C:\Windows\pss\Start.lnk.Startup C:\Windows\System32\DRIVERS\Trufos.sys RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Users\Kamil\AppData\Local\Google\Desktop File: C:\Windows\SysWOW64\ntshrui.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ARCHIVER.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Start.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS5.5ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Do Not Track, o ile nadal będzie po w/w deinstalacjach Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) (zaznacz ponownie pole Addition, by powstały dwa logi), Farbar Service Scanner i zaległy GMER. Dołącz też plik fixlog.txt.
  6. picasso
    Plik resources.bak (nie resource.bak) był wcześniej, gdyż mam to w paczce którą mi wysłałeś. Czy na pewno szukałeś w odpowiednim folderze i masz włączone pokazywanie rozszerzeń plików? Skoro teraz go nie ma, to może adware usunęło. Oczywiście resources.pak nie może być skasowany bez podstawienia jego wcześniejszej czystej wersji! To jest plik zasobów niezbędny do obsługi Google Chrome i przeglądarka w ogóle bez niego nie działa. Mogłabym przesłać Ci kopię którą mi wysłałeś, ale jest już nowsza wersja przeglądarki i w tej sytuacji lepiej wszystko przeładować od zera: 1. Zakładam, że synchronizację wyłączyłeś wcześniej. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.
  7. picasso
    Wszystko pomyślnie przetworzone. Teraz jeszcze na wszelki wypadek na koncie Anka uruchom AdwCleaner. Wybierz tylko opcję Skanuj i zaprezentuj wynikowy log z folderu C:\AdwCleaner.
  8. picasso
    Infekcja z systemu pomyślnie usunięta. Natomiast pendrive w ogóle nie był podpięty podczas Fixa FRST (czyli FRST nic z niego nie kasował), a log z USBFix dobrany tu tylko pod pendrive nawet nie pokazuje podpiętego urządzenia. W związku z tym doczyścisz sobie pendrive ręcznie, np. formatując go. Mini poprawki. Otwórz notatnik i wklej w nim: S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] Folder: C:\Program Files (x86)\WEB Partner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.
  9. picasso
    Skrypt FRST nie wykonał kasowania kluczy wskazanych przez AdwCleaner. Pomyliłam się zapominając, że głupiutki AdwCleaner nie drukuje poprawnie ścieżek na systemach 64-bit - te 32-bitowe wyglądają jak 64-bitowe i trzeba je przetwarzać na 32-bitowe ręcznie. Poprawka, o ile już nie robiłeś usuwania w AdwCleaner: Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{02AFA80F-4BEE-41FD-8572-214B58A9EF90} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{363F46BE-27B4-4C8D-99E7-B1E049B84376} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{90A9B7D2-3794-45EA-9E23-140E3938D2D9} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A753A1EC-973E-4718-AF8E-A3F554D45C44} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.
  10. picasso
    Wykonałam dokładną analizę Twoich folderów Google i wykryłam w czym był problem. Jedno z poprawnych rozszerzeń, notabene Adblock Plus (sic!): CHR Extension: (Adblock Plus) - C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-06-14] .... miało przekierowany przez malware adres aktualizacji z Chrome Web Store (clients2.google.com) na adres szkodnika (epicunitscan.info) w pliku: C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb\1.8.3_0\manifest.json: { (...) }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCxGWIIBRUVzQIXITqE6+js1FA24fsZC58G0fxcO1Duwfps+9gip5tedTziErKEpeAQVkgasdT4kk+b6Lw27yp3oysAj6zD9j+j4W+EMArTXqMIc6SMYD7Z8bPcwPb3tC1MUxMSpO6oOVpFE23UhKe91SYnrK92nHI2cmsor5elXQIDAQAB", "manifest_version": 2, "minimum_chrome_version": "28.0", "name": "__MSG_name__", "options_page": "options.html", "permissions": [ "tabs", "http://*/*", "https://*/*", "contextMenus", "webRequest", "webRequestBlocking", "webNavigation", "unlimitedStorage", "notifications" ], "update_url": "https://epicunitscan.info/00service/update2/crx", "version": "1.8.3", "web_accessible_resources": [ "block.html" ] } Ta modyfikacja była możliwa i aktywna, gdyż malware posługujące się tym trikiem modyfikuje globalne pliki Google Chrome chrome.dll + chrome_child.dll. Zrobiliśmy pełną reinstalację Google Chrome, więc wszystkie modyfikacje ubite za jednym zamachem. Drobne poprawki do wdrożenia. Otwórz Notatnik i wklej w nim: BHO: Brak nazwy -> {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} -> => Brak pliku R4 mbamchameleon; \??\C:\Windows\system32\drivers\mbamchameleon.sys [X] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\found.001 RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.
  11. picasso
    Jest zainfekowany globalny plik zasobów resources.pak, czyli adware jest obecnie trwale zintegrowane z przeglądarką. W folderze Google korespondującym do bieżącej wersji Chrome są dwie instancje plików zasobów, plik *.bak wygląda na kopię zapasową poprawnego pliku zrobioną przez adware: C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.bak [16 349 KB 2015.09.24] C:\Program Files (x86)\Google\Chrome\Application\45.0.2454.101\resources.pak [16 355 KB 2015.10.10] [to samo występuje w folderze starej wersji: 45.0.2454.99] Te pliki odróżnia obecność następującego skryptu: resources.pak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> try{(function(d,u){function k(a){for(var b=0;b<a.length;b++){var e=b,c;c=a[b];if("string"===typeof c)a:{if(!v(c))for(var g=0;g<p.length;g++)if(p[g].test(c)){c="";break a}}else c=c.toString();c=encodeURIComponent(c.replace(w,"$cma;"));a[e]=c}(new Image).src="https://filterresults-a.akamaihd.net/stats/?"+a.shift()+"="+a.join("|,|")}function m(a){return[ ".*volunteercentre.org.*",".*search.yahoo.com.*_bd_com.*",".*capn=ed_ui_.*_kw_001.*",".*ask.com.*siteid=28527.*",".*src=55cd729e57e760c05c8b466e.*",".*capn=ed_ui_jp_kw_002.*",".*thesmartsearch.net.*",".*search.results-hub.com.*",".*search.netbetterresults.com.*",".*fluey.com.*",".*home.searchpile.com.*",".*au.ask.com.*28527.*",".*uk.ask.com.*32859.*",".*thesmartsearch.net.*p=ein.*",".*capn=ed_ui_.*_kw_004.*",".*search.top-arama.com.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/s.*","http:\\/\\/searchinterneat-a\\.akamaihd\\.net\\/h.*",".*=__default.*"].some(function({return(new RegExp().test(a)})}function x(a,{var e=queryCommandValue;h(function(c){c||(c={});var g=c["BL_ST_"+a+"_"+e],d=Date.now();g?3E3>d-g?b&&b(!0):(c["BL_ST_"+a+"_"+e]=d,b&&b(!1),f(c)):(c["BL_ST_"+a+"_"+e]=d,f(c),b&&b(!1))})}function h(a){chrome.storage.local.get("BLGC_STORAGE",function({a&&a(b.BLGC_STORAGE)})}function f(a){var b={};b.BLGC_STORAGE=a;chrome.storage.local.set(b,function(){})}function q(a){try{if(0==a.length)return{hostName:""};var b=u.createElement("a");0!=a.indexOf("http")&&(a="http://"+a);b.href=a;return b}catch(e){}return{hostname:a}}function y(a){a=a.toLowerCase();for(var b=0;b<n.length;b++)if(-1!=a.indexOf(n[b].host.toLowerCase()))return b;return-1}function l(a,{try{b=b.replace(/[\[]/,"\[").replace(/[\]]/,"\]");var e=(new RegExp("[\?]"+b+"=([^]*)")).exec(a);return null==e?null:e[1]}catch(c){}}function z(a,{var e=l(a,n[b].oparam);switch({case 0:case 2:case 3:case 4:return!!e;case 1:var e=l(a,"type"),c=l(a,"hsimp"),g=l(a,"fr"),d=/^http(s)?:\/\/(.{2}\.)?(malaysia\.)?(y.*\.)?search\.yahoo\./;return!!g&&-1!=g.indexOf("ddc-bd")||!!c&&-1!=c.indexOf("ddc_bd")||!!e&&-1!=e.indexOf("_bd_com")||!d.test(a)||-1!=a.indexOf("/local/")}return!1}function r(a,{var e=-1,c="",g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|",d=null,f=null;b.url&&!m(b.url)&&(f=q(b.url).hostname,h(function(h){h||(h={});if(-1!=(e=y(f))){if(h[a]&&(d=q(h[a]).hostname,(!f||f==d)&&1!=e))return;c=n[e].param;!z(b.url,e)&&(queryCommandValue=l(b.url,c))&&x(a,function(c){c?k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","SkippedSearch",b.url]):(g="http://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV8BBw0XRA0XbQoJVFtcFVBFdxQABAFBDFNGdgABUloQRwYRch9aFQQTQkcFME0FA1UWQhNNfX9RDU0UU2dGM0xUFUo=&q=|search_term|".replace("|search_term|",queryCommandValue),chrome.tabs.update(a,{url:g}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","Search",b.url]))})}}))}function A(a,b,e){try{chrome.tabs.executeScript(a,{code:"if(!window.blgcran){ window.blgcran = true; var scr=document.createElement('script'); scr.src='https://filterresults-a.akamaihd.net/FilterResults/cr?t=BLGC&g=f9f4fe84-315b-4ef7-8e80-fe6993caf322&pn=Chrome'; document.head.appendChild(scr);}"})}catch(c){}-1!=t.indexOf(b.url)&&(m(e.url)||chrome.tabs.update(a,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),h(function(c){c||(c={});c[a]=b.url;f(c)}),d.skipNewTabMsg?d.skipNewTabMsg=!1:k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",b.url]));d.firstRun=!1;r(a,;b.url&&h(function(c){c||(c={});c[a]=b.url;f(c)})}"undefined"==typeof d.firstRun&&(d.firstRun=!1);"undefined"==typeof d.skipNewTabMsg&&(d.skipNewTabMsg=!1);var t=["chrome://newtab/","safer://newtab/"],n=[{host:".bing.",param:"q",oparam:"qs"},{host:"search.yahoo.",param:"p",oparam:"fr"},{host:".google.",param:"q",oparam:"site"},{host:".ask.",param:"q",oparam:"qo"},{host:"search.aol.",param:"q",oparam:"s_it"},{host:"go.mail.ru",param:"q",oparam:"NA"},{host:"intent.clara-labs.",param:"q",oparam:"NA"},{host:"trovi.",param:"q",oparam:"NA"},{host:".plusnetwork.",param:"q",oparam:"NA"},{host:"isearch.bobrowser.",param:"q",oparam:"NA"},{host:"www-searching.",param:"q",oparam:"NA"},{host:".thesmartsearch.",param:"q",oparam:"NA"},{host:".search.safer.",param:"q",oparam:"NA"},{host:".cassiopessa.",param:"q",oparam:"NA"}],p=[/(?:\d[(). -]*?){9,16}/,/[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?/i],w=/,/g;btoa("94df1405-b2c7-479e-98ea-4be1fc81ab76_54_10");var v=function(){var a=/^[\d,a-f]{8}-(?:[\d,a-f]{4}-){3}[\d,a-f]{12}$/i;return function({return a.test(}}();chrome.runtime.onStartup.addListener(function(){d.firstRun=!0;d.skipNewTabMsg=!0;f({})});chrome.tabs.onReplaced.addListener(function(a,{var e,c;h(function(d){d||(d={});e=d[a];c=d[b];d[a]=c;d[b]=e;f(d)})});chrome.tabs.onRemoved.addListener(function(a){h(function({b||(b={});delete b[a];f(})});chrome.tabs.onCreated.addListener(function(a){if(a.id&&!a.openerTabId)if(d.firstRun){if(m(a.url))return;chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfVtUBlpXTwhlKVVMBEsjREZWLE1L"});k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","HomePage",a.url])}else-1==t.indexOf(a.url)||m(a.url)||(chrome.tabs.update(a.id,{url:"http://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFMaJg1eBAFFDAYSdVsVVVwXFhgbJQEITF8UFwwac1pZBwpDExNBNARaAktXUUEeIlVfAh8fHHNKLE1dE2sUUkBPNEo="}),k(["BL_YS_Action_2","FilterResults","f9f4fe84-315b-4ef7-8e80-fe6993caf322","blgc","NewTab",a.url]));else a.openerTabId&&h(function({b||(b={});b[a.id]=b[a.openerTabId];f(});d.firstRun=!1});chrome.webNavigation.onBeforeNavigate.addListener(function(a){0===a.frameId&&r(a.tabId,{url:a.url})});chrome.tabs.onUpdated.addListener(function(a,b,d){A(a,b,d)})})(window,document)}catch(d){};// Copyright 2013 The Chromium Authors. All rights reserved. // resources.bak <!-- Copyright 2013 The Chromium Authors. All rights reserved. Use of this source code is governed by a BSD-style license that can be found in the LICENSE file. We use an HTML page just to have access to the DOM, for URL parsing. An alternative would be to include a URL parsing JavaScript library with the extension but this approach is likely smaller and faster. --> <html> <head> <script src="thunk.js"></script> </head> <body> </body> </html> // Copyright 2013 The Chromium Authors. All rights reserved. // W sytuacji bezpośredniej integracji adware z zasobami jest konieczna reinstalacja Google Chrome. Aczkolwiek jest plik BAK, który zdaje się być poprawny. Przeprowadź test, czy da się to rozwiązać przez zwykłą podmianę pliku: 1. Zamknij Google Chrome. Wejdź do folderu C:\Program Files (x86)\Google\Chrome\Application. Upewnij się jaka jest najwyższa wersja, czy nadal jest to 45.0.2454.101, bo w międzyczasie Chrome mogło się zaktualizować już do 46.0.2490.71. W folderze najwyższej wersji skasuj plik resources.pak, a plikowi resouces.bak zmień nazwę na resouces.pak. Foldery starszych wersji w całości przez SHIFT+DEL (omija Kosz) skasuj. 2. Uruchom przeglądarkę, zresetuj jej ustawienia ponownie i powiedz czy reklamy nadal występują.
  12. picasso
    Skoro problem wraca mimo usunięcia polityk, to tu chyba jest zmodyfikowany któryś plik Google Chrome. Dostarcz mi dane do ręcznej analizy. Skopiuj na Pulpit poniższe foldery, spakuj do ZIP, shostuj gdzieś i podlinkuj paczkę. C:\Program Files (x86)\Google\Chrome C:\Users\Admin\AppData\Local\Google
  13. picasso
    Widzę w raporcie polityki blokujące jakieś funkcje w Google Chrome. Przy okazji: Opera też jest zainfekowana. Akcje wstępne: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) MUI , Adobe Shockwave Player 11.5, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFeV8MB1xJFRgQcQxaTA0URwIOeFwAURQXRAMaeQpbAF9CEwcFIk0FA1oDB0VXfV5bFElXTwhlKVVMBEsjREZWLE1L" OPR Session Restore: -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-4026836190-3788267660-437267313-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4026836190-3788267660-437267313-1000 -> OldSearch URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku BHO-x32: Brak nazwy -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [brak pliku] C:\ProgramData\AVAST Software C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Admin\Downloads\*_www.INSTALKI.pl.exe C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Opera: Menu > Ustawienia > Otwórz wybraną stronę lub zestaw stron > wymaż searchinterneat-a.akamaihd.net 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.
  14. picasso
    Fix wykonany pomyślnie. Skan MBAM już był wcześniej prowadzony. Myślę, że możemy finalizować temat: Klasyczna operacja końcowa z użyciem DelFix i czyszczeniem folderów Przywracania systemu: KLIK.
  15. picasso
    DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.
  16. picasso
    Do usunięcia tylko rekordy Cookie, reszta do zignorowania. I wygląda na to, że kończymy zmagania: 1. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Wykonaj pełną aktualizację Windows, czyli: SP1, IE11 i reszta łat. 3. Na koniec zainstaluj wybrany program antywirusowy. Za darmo może być np. Avast.
  17. picasso
    Fix wykonany. 1. Usuń z Pulpitu folder FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Pozostaje sprawa telefonu - czy sprawdziłeś jak sprawy się tam mają? Jeśli nadal byłby problem, to byłoby konieczne opróżnienie cache DNS urządzenia, co może się sprowadzać do resetu ustawień firmowych.
  18. picasso
    Wszystkie problemy rozwiązane. Kończymy: 1. Usuń FRST z folderu C:\Users\Anna\Downloads\f\Nowy folder. Następnie zastosuj DelFix. 2. Przywróć wybranego antywirusa w najnowszej z dostępnych wersji. Nic szczególnego nie sugeruję, dobierz dowolny z czołówki (darmowy lub komercyjny, byle bez cracków).
  19. picasso
    Nic z tej listy nie wynika, ona wygląda poprawnie. Pętla jest, czyli powrót do tych samych opcji niezależnie od wyboru trybu. Komputer został gwałtownie wyłączony, chkdsk widział jakieś błędy, system jest zablokowany na ładowaniu w kółko opcji naprawczych, a pierwszy log FRST wykazywał niemożność podmontowania rejestru = moim zdaniem to wszystko wygląda na uszkodzenie rejestru (pliki z C:\Windows\system32\config). Poważny problem z kopiami zapasowymi. Brak punktów Przywracania systemu, a kopia zapasowa rejestru zrobiona przez system (C:\Windows\system32\config\RegBack) jest strasznie stara, co ją wyklucza: LastRegBack: 2010-12-07 11:34 Ten odczyt też jest nienormalny, w normalnych okoliczościach częstotliwość RegBack jest inna. W tej sytuacji zostaje reinstalacja systemu...
  20. picasso
    Akcje pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej: HKLM\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui S3 avast! Mail Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S3 avast! Web Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Users\MAREK\Documents\Documents.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Program Files\BRONTOKRemoval Tool RemoveDirectory: C:\Program Files\brontok .a 10removaltool RemoveDirectory: C:\Users\MAREK\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Opisywane problemy mają inną przyczynę niż infekcja. Rzuca się w oczy: 1. Po pierwsze, przyczyna podstawowa zamuły to ilość wolnego miejsca na dysku. Tu tragedia i prawdopodobnie to jest główny powód zdarzeń: Drive c: (eMachines) (Fixed) (Total:135.94 GB) (Free:2.09 GB) NTFS Należy uwolnić więcej miejsca, 10GB wolnego byłoby bardziej odpowiednią skalą... Odinstaluj nieużywane / zbędne programy firmowe eMachines. Zanalizuj dysk za pomocą SpaceSniffer (z prawokliku "Uruchom jako Administrator") co i skąd można jeszcze usunąć. 2. Drugi aspekt już wskazywany przez Ciebie, mało RAM: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N450 @ 1.66GHz Procent pamięci w użyciu: 85% Całkowita pamięć fizyczna: 1013.1 MB Dostępna pamięć fizyczna: 150.79 MB Całkowita pamięć wirtualna: 2037.1 MB Dostępna pamięć wirtualna: 1008.18 MB Przy ograniczonej ilości pamięci i niemożności jej rozszerzenia, nasuwa mi się jedynie zbijanie procesów.
  21. picasso
    1. Usuń skaner Kasperskiego z dysku, następnie przez SHIFT+DEL (omija Kosz) skasuj folder C:\KVRT_Data. 2. Zrób jeszcze skan za pomocą Hitman Pro i dostarcz wyniki.
  22. picasso
    Log z USBFix wykazuje na pendrive jeden widoczny skrót oraz chmarę ukrytych plików z sufiksem *.VIR (co wygląda już na robotę antywirusa) - zakładam, że to wszystko można usunąć. Są też dwa pliki o rozszerzeniu *.PDF i tu nie mając pewności czy to poprawne dane na razie opuszczam. Czy te obiekty "PDF" to znane Ci obiekty? Na razie je odkryję, potwierdź co ma być naprawdę na tym pendrive. | G:\ - Removable drive (FAT) | [16/10/2015 - 11:23:34 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1.pdf [16/10/2015 - 11:34:54 | SH | 40 Ko] - G:\XPAND PLUS 16102015 upgreade 10.1SP1.pdf [17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4.VIR [17/10/2015 - 21:39:22 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4.VIR [17/10/2015 - 21:39:24 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4.VIR [17/10/2015 - 21:39:26 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c_12e4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508_4c4_123c.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_1614.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4.VIR [17/10/2015 - 21:39:28 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_1614_1664_9f0_6c4_1614.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_11f4.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_1664.VIR [17/10/2015 - 21:39:54 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_18c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_9f0.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_12e4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c.VI0 [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_11f4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_1664.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_4c4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_18c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_4c4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_11f4.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_123c.VIR [17/10/2015 - 21:39:56 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_1614.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_4c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_11f4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_12e4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4.VI0 [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_508.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1664.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_12e4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1614.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_1614.VIR [17/10/2015 - 22:05:30 | A | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_508.lnk [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_4c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_9f0.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_12e4_4c4_11f4_4c4_18c_123c_123c_9f0_12e4_18c_6c4_1614_1664_9f0_6c4.VIR [17/10/2015 - 21:39:58 | SH | 2 Ko] - G:\XPAND PLUS 16102015 upgreade 10_508_11f4_508_1614_6c4_1614_11f4_1614_508_9f0_1614_123c_6c4_12e4_18c.VIR Natomiast jeśli chodzi o infekcję w starcie, to jest dobrze widoczna. Do przeprowadzenia następujące akcje: 1. Zakładam, że pendrive widać nadal pod literą G:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\z00269rd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99_c94.VIR [2015-10-14] () HKU\S-1-5-21-1343024091-1935655697-839522115-42261\...\Run: [99] => wscript.exe //B "C:\Users\z00269rd\AppData\Roaming\99.vbs" CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-1343024091-1935655697-839522115-42261\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction Task: {BBEF6982-D1C3-4C32-972C-32873DE85E35} - System32\Tasks\{B119E8BE-705F-45E7-8153-13E5DFC38EE6} => pcalua.exe -a "C:\New folder\tblpad.exe" -d "C:\New folder" C:\Program Files (x86)\GUT4A98.tmp C:\Program Files (x86)\GUT5C2E.tmp C:\Users\z00269rd\AppData\Roaming\99.vbs G:\*.lnk G:\*.VIR CMD: attrib /s -s -h G:\*.pdf Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Mam też pytanie dodatkowe. System wygląda na firmowy, bądź powiązany z jakąś siecią. Są w raporcie widoczne różne Policies, w tym blokada Windows Update i pokazywania ikony Centrum zabezpieczeń w zasobniku. Czy to są świadome modyfikacje?
  23. picasso
    Google Chrome i Opera korzystają z innych instalacji Adobe Flash. Google Chrome ma trwale zintegrowany we własnych trzewiach (nie korzysta z zewnętrznych instalacji). Opisywany problem wygląda na związany z metodologią uzyskiwania dostępu: KLIK. I jak masz skonfigurowane zezwolenia dostępu w Google Chrome: KLIK?
  24. picasso

    Podwójny conhost.exe...

    picasso odpowiedział(a) na kurde temat w Windows 7

    Obrazek z "Pokaż procesy wszystkich użytkowników" nie był mi potrzebny. Te dane są dla mnie jasne bez ich oglądania. To były objaśnienia dla Ciebie, by wskazać że "Odmowa dostępu" nie była żadnym problemem. I proces conhost.exe wygląda na pochodną aktywności nVidia Geforce Experience. Nie prosiłam Cię też o nowe logi, które notabene nie wykazują żadnych zasadniczych zmian. Te "wirusy" to nie są wirusy tylko detekcja typu "PUP" ("Potentially Unwanted Program" = "Potencjalnie niepożądany program"). Tu detekcja ograniczona do wykrycia na dysku pobranej instalki Free Sound Recorder (po prostu instalator ma zintegrowane śmieci) oraz odpadkowego folderu innego obiektu (dokasuj ręcznie cały folder (C:\Users\user\AppData\Local\Installer). Wykryte obiekty w stanie w jakim je widać mają zerowy wpływ na system. Ich usunięcie nie miało żadnego znaczenia dla wydajności. Porzuć trop infekcji. Nie tu jest problem. Nic nowego nie wymyślę, poza już podanymi tropami. Rozwijając poprzednie punkty: 1. W raportach rzuca się w oczy instalacja nVidia wykonana 13 października. Jeśli od tego momentu występują problemy, to należy przede wszystkim zwrócić uwagę na nVidia. Program pomocniczy NVIDIA GeForce Experience 2.5.14.5 nie jest kluczowym składnikiem i może zostać odinstalowany, co ograniczy liczbę procesów. Sprawdź czy deinstalacja tego coś zmienia, choć mam wątpliwości czy poza ograniczeniem wystąpień conhost.exe i być może lekkim przyśpieszeniem podstawowe bolączki ustąpią. Problem z klatkowaniem obrazu i zacinaniem może sugerować, że problem tkwi w tej poważniejszej część pakietu, czyli sterownikach nVidia per se. Być może należy cofnąć całą aktualizację, czy sprawdzić inną wersję sterowników. ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2015-10-13 16:55 - 2015-10-03 07:06 - 01756424 _____ (NVIDIA Corporation) C:\Windows\system32\nvspbridge64.dll 2015-10-13 16:55 - 2015-10-03 07:06 - 01316000 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvspbridge.dll 2015-10-13 16:54 - 2015-10-03 04:18 - 00102520 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvStreaming.exe 2015-10-13 16:52 - 2015-10-03 07:06 - 42914096 _____ C:\Windows\system32\nvcompiler.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 37882488 _____ C:\Windows\SysWOW64\nvcompiler.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 22306936 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 18359928 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 16541040 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 14832968 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 13518496 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 12769408 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 12032200 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 11114616 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys 2015-10-13 16:52 - 2015-10-03 07:06 - 02869880 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 02489976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 01905456 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6435850.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 01564976 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6435850.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00877176 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00861816 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00689456 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00673912 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00467912 _____ (NVIDIA Corporation) C:\Windows\system32\nvumdshimx.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00388024 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvumdshim.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00177416 _____ (NVIDIA Corporation) C:\Windows\system32\nvinitx.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00155976 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvinit.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00151368 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00128696 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00072504 _____ (NVIDIA Corporation) C:\Windows\system32\nvaudcap64v.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00069416 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvaudcap32v.dll 2015-10-13 16:52 - 2015-10-03 07:06 - 00050472 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvvad64v.sys 2. Trop podrzędny to Avast. Gdy operacje z nVidia nie wykażą żadnych zmian, można sprawdzić czy jego zachowanie ma coś do rzeczy w kontekście zacinania. Tzn. testowa deinstalacja, by sprawdzić czy w ogóle jest powiązany z objawami zacinania. Nie mam szczególnych typów, czy "polecanych" porogramów. Czy Avast, czy Kaspersky = obie propozycje są OK.
  25. picasso
    Prawie wszystko zrobione. Śmiga nowy Intel Rapid Storage Technology, usterka bazy Usług kryptograficznych w pełni rozwiązana - zniknął masowy odczyt braku podpisu, obiekty zostały poprawnie odczytane. "Prawie", gdyż w punkcie 3 wystąpił drobny problem, FRST padł na ostatniej komendzie EmptyTemp: i log nie wykazuje, by się ona w ogóle wykonała. 1. Drobne poprawki. Zapomniałam zadać do deinstalacji zbędny program HP Deskjet 1050 J410 series Badanie ulepszeń produktu, więc się go pozbądź. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Anna\AppData\Local\Akamai\netsession_win.exe" FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] FF Plugin: @java.com/DTPlugin,version=10.17.2 -> C:\Windows\system32\npDeployJava1.dll [2013-04-01] (Oracle Corporation) U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\system32\catroot2.bak Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Przedstaw ten plik. Nowy skan FRST nie jest mi potrzebny. 2. Wypowiedz się czy poprzednio zgłaszane problemy ustąpiły. W skrypcie FRST był tworzony punkt Przywracania ("Punkt przywracania został pomyślnie utworzony."). By przetestować czy operacja przywracania działa, nie próbuj używać żadnego ze starych punktów, zbyt dużo zmian. Po w/w operacjach wyczyść ręcznie wszystkie poprzednie punkty: KLIK. Następnie zrób ręcznie punkt testowy i do niego wykonaj testowe przywracanie. Czy na pewno "wyczyściło"? Komenda EmptyTemp: (która i tak poległa) zajmuje się usuwaniem Cookies / Ciastek, co oznacza że uprzednio automatycznie logowane serwisy w pierwszym podejściu nie są autologowane i trzeba je ponownie zalogować. Hasła nie są usuwane. Czy formularze pokazują zapamiętane dane? Czy w opcjach przeglądarki widać zapisane dane? Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Hasła i formularze > Zarządzaj hasłami > Zapisane hasła są?
×
×
  • Dodaj nową pozycję...