Tatkam Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Dzień dobry, co klika minut wyskakuje informacja z Windows Defender, że usunięto zagrożenie. Skan i Naprawa w ADWCleaner nie przyniosła oczekiwanych rezultatów. FRST.txt Addition.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Zabrakło obowiązkowego pliku FRST Shortcut. Nie podałeś co konkretnie i gdzie wykrywa Windows Defender. W raportach FRST widać tylko szczątki adware (głównie PriceFountain) i dziwną zawartość pliku Hosts. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Java 7 Update 72 (64-bit), Java 7 Update 72. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń szczątkowy wpis Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0854BC54-7C46-4962-962C-F5D321F372EF} - System32\Tasks\Windows Installer => C:\Users\Kamil\AppData\Roaming\Updater\winupd.exe <==== UWAGA Task: {0CC712E4-9DA9-49B7-AFA9-61ACC5354FBB} - System32\Tasks\Uninstaller_SkipUac_Administrator => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: {26568B8A-0EBC-4A85-9DB9-AE48E919EB36} - System32\Tasks\{183202AE-979F-8454-99D4-15E30054407C} => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper [Argument = /Check] <==== UWAGA Task: {5B84AAAC-B9A0-43C6-871E-03F5A8768162} - \Full Cleaner -> Brak pliku <==== UWAGA Task: {6D1BC589-9FB2-465A-BF57-6D59F3479CB9} - System32\Tasks\Driver Booster SkipUAC (Kamil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {7F8D85F1-DC1B-46F8-93D3-1022963C4903} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=safeguard&lang=en Task: {8F9A17DF-8D87-4D80-888C-D1EBA40DF948} - System32\Tasks\{693C22F5-8A7A-4095-8627-C2487720AC8A} => pcalua.exe -a D:\Baldur.exe -d D:\ Task: {96CC9F8C-B458-4993-8ACE-76D0B1419663} - System32\Tasks\Driver Booster SkipUAC (SYSTEM) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {A40B047C-602C-4180-82F0-6C02487ED1EE} - System32\Tasks\KamilCalendsVariablenessV2 => Rundll32.exe SentencedSneaked.dll,main 7 1 <==== UWAGA Task: {DC3429B6-DB41-4C29-93E5-2BC075AE035A} - System32\Tasks\Uninstaller_SkipUac_Kamil => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F879CBF5-D5AB-49D9-9FFE-1F5E831A25C4} - \Full Cleaner Logon -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\Open Chrome.job => c:\program files (x86)\Google\Chrome\Application\chrome.exeF--new-window hxxp:/toolbar.avg.com/ Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Administrator.job => E:\1Programy\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Kamil.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\{183202AE-979F-8454-99D4-15E30054407C}.job => C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C}\SynHelper/Check Kamyk\Kamil 0ߕ ֠< <==== UWAGA HKLM-x32\...\Run: [QuickTime Task] => C:\Windows\SysWOW64\qttask.exe [98304 2013-06-03] (Apple Computer, Inc.) HKU\S-1-5-18\...\Run: [Advanced SystemCare 8] => "C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCTray.exe" /Auto HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{183202AE-979F-8454-99D4-15E30054407C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CalendsVariableness DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Desktop iCalendar.exe" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FreeAC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NetMon /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "EaseUS EPM tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackTrayMenu.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v CodecPackUpdateChecker.lnk /f C:\Program Files\Enigma Software Group C:\Program Files (x86)\Computer Computer C:\Program Files (x86)\Google C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} C:\ProgramData\mtbjfghn.xbe C:\Users\Kamil\AppData\Local\{6578B065-08AA-4068-BDA3-A439751D5B3B} C:\Users\Kamil\AppData\Local\{7987E687-E3B7-4E1D-9EEE-5464375D6873} C:\Users\Kamil\AppData\Local\CalendsVariableness C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\{183202AE-979F-8454-99D4-15E30054407C} C:\Users\Kamil\AppData\Roaming\Full Cleaner C:\Users\Kamil\AppData\Roaming\Updater C:\Windows\SysWOW64\qttask.exe CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw Vivaldi jako domyślną przeglądarkę, gdyż obecnie brak zdefiniowanej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy WindowsDefender nadal coś wykrywa. Odnośnik do komentarza
Tatkam Opublikowano 12 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Zniknęła informacja o błędzie C:\Users\Kamil\AppData\Local\CalendsVariableness\SentencedSneaked.dll podczas uruchamiania systemu. Póki co nie pojawia się już informacja o następującym problemie: Cytat Windows Defender wykrywał następujący problem: Wystąpił następujący błąd: Kod błędu: 0x80508023. Program nie znalazł na komputerze złośliwego oprogramowania ani innego potencjalnie niechcianego oprogramowania. Kategoria: Program modyfikujący przeglądarkę Opis: Ten program zmienia różne ustawienia przeglądarki sieci Web bez zgody użytkownika. Zalecana akcja: Usuń niezwłocznie to oprogramowanie. Elementy: file:C:\Users\Kamil\AppData\Local\CalendsVariableness\SentencedSneaked.dll A propo ustawianie domyślnej przeglądarki. gdy miałem Chrome to za każdym razem musiałem klikać - ustaw domyślną. Przy Vivaldi również. Ta sama sytuacja przy innych rozszerzeniach .torrent, .mp3. Tak jakby od pewnego czasu nie dało się zmienić domyślnie ustawionych aplikacji. A nowo zainstalowanych aplikacji nie ma na liście dostępnych przy ustalaniu domyślnych rozszerzeń. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Te komunikaty były właśnie związane z zadaniem adware PriceFountain w Harmonogramie, co pomyślnie FRST usunął. Zapomniałeś dodać plik Fixlog.txt z wynikami skryptu, ale już to sobie darujmy, gdyż w logach widać pozytywne zmiany. Cytat A propo ustawianie domyślnej przeglądarki. gdy miałem Chrome to za każdym razem musiałem klikać - ustaw domyślną. Przy Vivaldi również. Ta sama sytuacja przy innych rozszerzeniach .torrent, .mp3. Tak jakby od pewnego czasu nie dało się zmienić domyślnie ustawionych aplikacji. A nowo zainstalowanych aplikacji nie ma na liście dostępnych przy ustalaniu domyślnych rozszerzeń. Przeoczyłam błędy w Dzienniku zdarzeń, masz uszkodzony rejestr: Dziennik Aplikacja: ================== Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (08/12/2016 12:42:08 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Kamil\AppData\Local\Microsoft\Windows\\UsrClass.dat Rozwiązaniem jest założenie nowego konta użytkownika w Windows i usunięcie starego. Odnośnik do komentarza
Tatkam Opublikowano 12 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Rozwiązaniem jest założenie nowego konta użytkownika w Windows i usunięcie starego. No i tu pojawia się kolejny problem, po kliknięciu w "ustawienia komputera" gdzie powinienem mieć dostęp do szeregu funkcji zostaje przeniesiony do menu start - tak jakby pod ta ikona nie krył się żaden program. Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 Prawoklik na plik C:\Windows\system32\lusrmgr.msc > Uruchom jako Administrator > powinna uruchomić się przystawka zarządzania lokalnymi kontami, z poziomu której można alternatywnie przeprowadzić dodawanie lokalnego konta. Odnośnik do komentarza
Tatkam Opublikowano 18 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2016 Od paru dni wszystko działa jak należy, nic nieoczekiwanego nie wyskakuję podczas normalnego użytkowania a rozszerzenia przypisane do aplikacji do których mają być. Dziękuję! Odnośnik do komentarza
picasso Opublikowano 13 Września 2016 Zgłoś Udostępnij Opublikowano 13 Września 2016 Na koniec, o ile już tego nie zrobiłeś, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Dodatkowo, przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\MATS utworzony przez narzędzie Microsoftu. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi