picasso

Skoro masz dostęp do środowiska zewnętrznego typu Reatogo, to poproszę o raport z FRST. Reatogo-x-pe posiada graficzny interfejs, więc sprawa się ogranicza do uruchomienia przez dwuklik FRST zlokalizowanego na pendrive. FRST umożliwia łatwe przywracanie rejestru XP (na nowszych systemach jest to awykonalne). O ile tu problemem jest rejestr. Ponadto raport z FRST może coś więcej powiedzieć.

Te foldery nie są szkodliwe. Folder {01BD4FC9-2F86-4706-A62E-774BB7E9D308} to pozostałość po instalacji AVG (w środku instalator programu AVG), a reszta jest pusta i nic nie robi. Wszystko można usunąć. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} RemoveDirectory: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynkowy fixlog.txt.

Skoro problem jest zarówno w Chrome jak i Steam, to przyczyna nie jest w obszarze przeglądarki i być może właśnie DNS i/lub jego bufor to clou. A Firefox tu w ogóle nie jest zainstalowany, więc Fix z posta #4 nie miał żadnego znaczenia. Kolejna sprawa to dużo domyślnych usług Windows bez podpisu cyfrowego: S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [111104 2014-10-29] (Microsoft Corporation) [File not signed] S3 EFS; C:\Windows\system32\efssvc.dll [41472 2014-10-29] (Microsoft Corporation) [File not signed] S3 fhsvc; C:\Windows\system32\fhsvc.dll [121856 2014-10-29] (Microsoft Corporation) [File not signed] S4 SCardSvr; C:\Windows\System32\SCardSvr.dll [194048 2014-10-29] (Microsoft Corporation) [File not signed] S3 ScDeviceEnum; C:\Windows\System32\ScDeviceEnum.dll [131072 2014-10-29] (Microsoft Corporation) [File not signed] S3 SCPolicySvc; C:\Windows\System32\certprop.dll [156160 2014-10-29] (Microsoft Corporation) [File not signed] R2 Winmgmt; C:\Windows\system32\wbem\WMIsvc.dll [230400 2014-10-29] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [2608640 2014-10-29] (Microsoft Corporation) [File not signed] S3 wlidsvc; C:\Windows\system32\wlidsvc.dll [1639424 2014-10-29] (Microsoft Corporation) [File not signed] S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [201728 2014-10-29] (Microsoft Corporation) [File not signed] 1. Z klawiatury klawisz z flagą Windows + X > Połączenia sieciowe > Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Z klawiatury klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę sfc /scannow i ENTER. Gdy skan zostanie ukończony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: ipconfig /flushdns netsh advfirewall reset findstr /c:"[SR]" %windir%\logs\cbs\cbs.log EndBatch: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: BootExecute: sdnclean64.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing StartMenuInternet: IEXPLORE.EXE - iexplore.exe ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKLM\...\StartupApproved\Run32: => "HP Software Update" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Pjeruk\AppData\Local\Mozilla C:\Users\Pjeruk\AppData\Roaming\Mozilla C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart Przedstaw wynikowy fixlog.txt. I wypowiedz się czy problem przekierowań nadal występuje.

To rozszerzenie w skrypcie ma odnośnik do jakieś dziwnej strony, która się nawet nie ładuje (simple-finder.com). Rozszerzenie usunięte, czy są jakieś zmiany? Jeśli nie, to nie widzę nic więcej. Wprawdzie jest w Firefox też rozszerzenie Yahoo, ale to oficjalny add-on Yahoo hostowany też na Mozilla Add-ons i nie powinien produkować porno. W przypadku braku rezultatów zresetuj Firefox: w pasku adresów wklep about:support i ENTER, wybierz opcję odświeżenia. Reset przeglądarki nie usuwa haseł i zakładek, ale wszystkie rozszerzenia pójdą do piachu (do reinstalacji). Co masz na myśli? Brakuje danych?

Jak mówiłam, "Quick Searcher" jest podejrzany, przekierowania nadal są, bo nic się nie wykonało ze skryptu. Zabij proces FRST, następnie: 1. Przekopiuj poniższy folder na Pulpit, spakuj ręcznie i dostarcz do ręcznej analizy. C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 2. Następnie wytnij tę linię Zip: ze skryptu i uruchom skrypt.

Reinstalacja przeglądarki nie usuwa profilu Firefox z dysku, a od wielu już wersji nie ma opcji w instalatorze Mozilla, by zaznaczyć usunięcie profilu. To rozszerzenie przeportowane z Chrome jest podejrzane (nie mogę go znaleźć na Mozilla Add-ons, wygląda na adware/PUP): FF Extension: (Quick Searcher) - C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2017-08-30] Ponadto jest jakiś niedomyślny plik user.js o nieznanej zawartości. I jeszcze poprawki na inne śmieci. 1. Odinstaluj AVG TuneUp (firmowy PUP) oraz Dll-Files Fixer (program wątpliwej reputacji). Niestety AVG TuneUp jest uszkodzony - to skutek uboczny użycia AdwCleaner, na chama usuwał foldery z dysku zostawiając śmietnik w rejestrze. Należało go najpierw normalnie odinstalować, a dopiero po tym użyć AdwCleaner... Prawdopodobnie jednak AVG TuneUp jest tak uszkodzony, że wejście nie będzie reagować. Potem się tym ewentualnie zajmiemy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: netsh advfirewall reset CMD: type C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js Zip: C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E2055F0-0870-4141-B270-6EEA055F6394}&mid=9c02c083121a47cc905b69de1c6349fd-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=de&ds=AVG&coid=avgtbavg&cmpid=0717tb&pr=fr&d=2016-07-25 21:28:10&v=4.3.8.510&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Web TuneUp\vprot.exe" ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Keine Datei DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions FF SelectedSearchEngine: Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211 -> Bing C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\searchplugins C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Windows\system32\Tasks\AVAST Software RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Na Pulpicie powstał plik ZIP - shostuj gdzieś i prześlij mi link do tego pliku.

Proszę załącz trzy raporty z FRST (FRST.txt, Addition.txt, Shortcut.txt) w postaci załączników forum. Nie wklejaj raportów FRST do posta.

Czynnej infekcji brak, do usunięcia będą tylko drobne odpadki po odinstalowanych programach. Natomiast jeśli chodzi o detekcję AdwCleaner, to jest prawdopodobne że część folderów wcale nie jest szkodliwa. Np. jeden z ciągów jest charakterystyczny dla instalacji BitDefender. W skrypcie FRST dołączę komendy sprawdzania co jest w tych folderach. 1. Odinstaluj Adobe Flash Player 26 NPAPI, to wersja dla linii Mozilla (brak Firefoxa w systemie). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 Trufos; C:\Windows\System32\DRIVERS\TRUFOS.sys [520032 2016-11-02] (BitDefender S.R.L.) MSCONFIG\startupfolder: C:^Users^Maciej^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk => C:\Windows\pss\MyPC Backup.lnk.Startup MSCONFIG\startupreg: Advanced SystemCare Ultimate => "C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASCTray.exe" /Auto MSCONFIG\startupreg: ares => "C:\Program Files (x86)\Ares\Ares.exe" -h MSCONFIG\startupreg: FixCamera => MSCONFIG\startupreg: IObit Malware Fighter => "C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart MSCONFIG\startupreg: Komunikator => C:\Program Files (x86)\Tlen.pl\tlen.exe MSCONFIG\startupreg: Malwarebytes TrayApp => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe MSCONFIG\startupreg: MotoCast => MSCONFIG\startupreg: Nvtmru => MSCONFIG\startupreg: SDTray => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" MSCONFIG\startupreg: SpybotPostWindows10UpgradeReInstall => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" MSCONFIG\startupreg: tsnpstd3 => MSCONFIG\startupreg: WinampAgent => "C:\Program Files (x86)\Winamp\Winampa.exe" ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> Brak pliku ContextMenuHandlers1: [iObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => -> Brak pliku ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku Task: {7972D1C0-6018-4427-AB70-88E4AF008CE6} - System32\Tasks\ASCU10_SkipUac_Maciej => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe Task: {AB3FC8B5-4F8A-425E-833F-831E43626ADD} - System32\Tasks\{0146F64C-7D84-46A1-AE4C-F4B7FDA6D712} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Games\Call of Atlantis Treasures of Poseidon CE\Uninstall.exe" Task: {CE203930-0DC2-4748-8992-4CCE8B4DBDF1} - System32\Tasks\ASCU10_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\Monitor.exe Task: {EECDC594-8F1A-4C88-9490-81468EA13B08} - System32\Tasks\{AA203FB5-229E-4B6C-93F1-3766330FA399} => C:\Windows\system32\pcalua.exe -a C:\Users\Maciej\Downloads\JDownloader2Setup64Bit.exe -d C:\Users\Maciej\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-119396996-3710650731-1695599349-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crytek Studios C:\Users\Maciej\AppData\Roaming\temp.ini C:\Users\Maciej\AppData\Local\housecall.guid.cache C:\Windows\System32\DRIVERS\TRUFOS.sys Folder: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} Folder: C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} Folder: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} Folder: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} Folder: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Kolejna porcja czynności: 1. Skoro korzystasz tylko z Chrome, odinstaluj Operę. 2. Doczyszczanie drobnych odpadków po odinstalowanych aplikacjach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] Task: {3E94D414-626F-472C-BB40-825C599EAE10} - System32\Tasks\{E792CDE9-C748-4B81-A0BA-73AEA7B57F9A} => C:\Windows\system32\pcalua.exe -a D:\AutoRunPro.exe -d D:\ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia C:\Program Files (x86)\Driver Updater Plus C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SrpnFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Updater Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Purifier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\Users\Lenovo\AppData\Local\{BBE99551-C258-4226-8F64-117CA323B426} C:\Users\Lenovo\AppData\Local\Mozilla C:\Users\Lenovo\AppData\Roaming\Mozilla C:\Windows\Reimage.ini DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh adfvfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. W raportach nie widać żadnych aktywnych obiektów adware, więc jeśli problem reklam w Chrome nadal istnieje, nie jest wykluczone że któreś rozszerzenie za to odpowiada. Po odrzuceniu rozszerzeń poprawnych i ze starą datą modyfikacji to rozszerzenie wydaje się mocno podejrzane i nie mogę go znaleźć w Chrome Web Store: CHR Extension: (Daily Horoscopes) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnbhlpceecpkhkgebgmnjooilcpofmee [2017-04-17] W Google Chrome w pasku adresu wklep chrome://extensions oraz chrome://apps i ENTER. Wyszukaj to rozszerzenie i je odinstaluj. Uruchom ponownie Google Chrome i podaj rezultaty czy reklamy nadal występują.

W której przeglądarce występują reklamy, Chrome czy Opera czy w obu? Na początek wykonaj podstawowe deinstalacje tego co jest widoczne: 1. Odinstaluj: Adobe Flash Player 26 NPAPI (wersja dla Firefox, który nie jest zainstalowany), Browser-Security, Driver Updater Plus, McAfee Security Scan Plus, PC Purifier, Reimage Repair, SrpnFiles. W przypadku błędów deinstalacji kontynuuj, doczyszczę wpisy ręcznie w kolejnym podejściu. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Wypowiedz się czy deinstalacje wpłynęły na ustąpienie problemu.

Głównym URL forum jest adres z www. Z tematu Migracji na https:

Avast zablokował przekierowanie, więc w porządku. W raportach brak oznak infekcji. PS. Możesz wykonać drobne działania poboczne: 1. W Google Chrome odinstaluj wątpliwe rozszerzenia: Unlimited Free VPN - Hola (niebezpieczne rozszerzenie relatywne do aktywności para-botnet), Video Downloader professional (wątpliwy producent, możliwe adware). 2. Czyszczenie wpisów szczątkowych i Tempów: 3. Odinstaluj starą wersję Adobe Flash Player 21 NPAPI i zastąp najnowszą: KLIK.

Pytaniem jest: skąd wiesz, że wirus Sality jest w systemie? W raportach brak oznak infekcji. A ZHPCleaner (w zasadzie tu nie stosowany) w ogóle nie służy do detekcji wirusów w wykonywalnych. Do detekcji tego wirusa służy skaner AV. Przy wirusie Sality należy formatować wszystkie dyski, które były dostępne podczas infekcji (a nie tylko partycję z Windows) i nie wolno kopiować żadnych plików wykonywalnych (instalki, sterowniki) do kopii zapasowej.

GMER został usunięty z obowiązkowych raportów prezentowanych w dziale diagnostyki malware, z następujących powodów: - Trend spadkowy, coraz mniej infekcji tego rodzaju. Właściwie w ostatnim czasie widziana tylko jedna infekcja tu na forum. - Zgodność narzędzia kończy się na Windows 10 RTM, na nowszych edycjach zintensyfikowane dewiacje i problemy. - Dużo fałszywych alarmów, które niepokoją użytkowników. Wszystkie przyklejone tematy dostosowane do nowej sytuacji, zaś ogłoszenie o emulatorach napędów wirtualnych wyłączone (jego treść na wszelki wypadek wstawiona do tematu z instrukcjami tworzenia raportu GMER). Gdy zajdzie potrzeba wykonania ekstra skanu anty-rootkit, użytkownik zostanie poinstruowany w tej materii.

Temat przenoszę do działu diagnostyki infekcji. Dostarcz obowiązkowe raporty z FRST.

Jest to pierwszy przypadek takiej interpretacji tutaj. Jak mówiłam: Swoją drogą, ta notatka nie jest w ogóle widziana podczas edycji posta przez użytkownika. Takiej opcji nie ma. Natomiast jest możliwość blokady edycji po predefiniowanym czasie, dla określonych grup. Ta koncepcja miała być przeze mnie wprowadzona kilka lat temu (gdy pojawiły się pierwsze symptomy wymazywania treści postów przez użytkowników), ale w tamtym czasie spotkało się to z opozycją. Być może w przyszłości wrócę do tej koncepcji.

Narzędzie moderatora w standardzie IPB: To jest notatka moderatora która nie jest dostępna do edycji przez użytkownika, ale użytkownik edytujący później post może ją "ukryć". Moderator ma obowiązek zasygnalizować, że edytował post, co uczynił zaznaczając opcję "Wyświetl linię Edytowane przez". Ta linia dynamicznie zmienia nicki wg kolejności edycji. Oczywiście, że "Edytowane przez..." ustawi się na Twój nick, jeśli zedytujesz post później niż moderator - to nie jest "manipulacja moderatora" czy "błąd w kodzie". Ta linia jest niezależna od istniejącej notatki moderacyjnej i mówi kto był ostatnią osobą edytującą post, a nie kto był autorem notatki moderacyjnej (informacje są tożsame tylko gdy jedyną edycją była edycja moderatora). On nic nie zmienił po Twojej edycji, Twoja edycja definitywnie była ostatnią. A gdybyś odznaczył opcję "Wyświetl linię...", notatka moderatora zostałaby ukryta. Jedyne co można zasugerować, to by się podpisywał "dwa razy" (jak ja to robię, by właśnie uniknąć efektu jaki stworzyłeś), tzn. nie tylko zaznaczone "Wyświetl linię Edytowane przez", ale także i nick moderatora w notatce per se: Proszę pisać na temat. //picasso Testową notatkę takiego typu zaprezentował inny moderator w Twoim pierwszym poście tutaj. PS. W temacie Migracji na https prosiłam by unikać hostingów obrazków działających w http, bo to powoduje ostrzeżenie o "Mieszanej zawartości".

Temat sprzed ponad roku i mający charakter tylko i wyłącznie zawiadomienia administracyjnego na temat zmiany w ekipie. Zażalenia na temat pracy moderatorów zgłasza się poprzez funkcję Raportuj lub nowy temat. Ten temat również zostaje zamknięty, gdyż wszystko wyjaśnione.

Powody: wątki nieaktualne / rozwiązane, brak nowych zgłoszeń od długiego czasu (aktualizacja forum), dyskusja nie przewidziana (np. temat w którym raportuję problemy dostawcy).

Brak oznak infekcji (i z raportów nic nie wynika), silnie także powątpiewam by zalecane łaty Microsoftu miały coś do rzeczy. Tu się prędzej nasuwa, że problem tworzy Avast jako taki. Czy próbowałeś go przeinstalować? Druga sprawa, czy jesteś pewien że problemu nie tworzą blokery reklam? Jest tu globalny Ad Muncher oraz w konkretnych przeglądarkach dodatkowo jeszcze Adguard. Ad Muncher i tak sugeruję odinstalować. Program nie jest rozwijany. Do wglądu spis blokerów reklam: KLIK.

Fix pomyślnie wykonany. Na koniec zastosuj DelFix. To wszystko.

Teraz możemy zająć się sprawami pobocznymi, tzn. usunięcie szczątkowych wpisów i czyszczenie Tempów: 1. Odinstaluj bardzo starą wersję Adobe AIR (luki bezpieczeństwa). Jeśli potrzebne, zainstaluj najnowszą wersję. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [252832 2017-06-25] (Malwarebytes) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "Akamai NetSession Interface" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\StartupApproved\Run: => "TSMApplication" HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-614434600-3373767400-3787713511-1001\...\Policies\Explorer: [] Task: {83D00F0E-27AD-41E1-A82F-0B6F8CE722E6} - \AutoKMS -> Brak pliku ContextMenuHandlers01: [Autodesk.DWF.ContextMenu] -> {6C18531F-CA85-45F7-8278-FF33CF0A5964} => -> Brak pliku DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\Flow\Cookies:Lr4EbTP9PBLrDi1bahcS [2162] AlternateDataStreams: C:\Users\Flow\Ustawienia lokalne:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local\Dane aplikacji:n7m0Q0VRyBvNI3eTI [1932] AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:qrHH4mboTNzgJnk8iEAAcI [2276] AlternateDataStreams: C:\Users\Flow\AppData\Local\Temp:zAEvlxXNynWNYlYUw2J6l [1892] C:\Program Files (x86)\Temp C:\ProgramData\HitmanPro C:\Windows\AutoKMS C:\Windows\system32\.crusader C:\Windows\system32\Drivers\MBAMSwissArmy.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Reset przeglądarki nie był konieczny (nie adresuje sfery która tu była zdefektowana), ale i też nie zaszkodził. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W ustawieniach routera nie widzę nic podejrzanego. "Nic nie znalazł" oznacza że szukanie Windows Update zwróciło zero wyników, czy też może zawiesiło się na nieskończonym wyszukiwaniu?

Kończymy: 1. Zastosuj DelFix, by usunąć narzędzia i ich kwarantanny. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare niebezpieczne wersje Adobe, jeśli potrzebne zainstaluj nowe. Link do Adobe Reader również w w/w przyklejonym. ==================== Zainstalowane programy ====================== Acrobat.com (HKLM\...\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1) (Version: 1.1.377 - Adobe Systems Incorporated) Adobe AIR (HKLM\...\Adobe AIR) (Version: 1.0.4990 - Adobe Systems Inc.) Adobe Reader 9 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A90000000001}) (Version: 9.0.0 - Adobe Systems Incorporated)