Skocz do zawartości
GrzegorzS

Zainfekowanie laptopa po próbie otwarcia załącznika na poczcie

Rekomendowane odpowiedzi

Dzień dobry.

Dostałam maila na skrzynkę pocztową z informacją że za 2-3 dni otrzymam przesyłkę kurierską, dane przesyłki w załączniku. Otworzyłam załącznik, ale załącznik się nie otwierał więc go zamknęłam, maila wykasowałam ze skrzynki pocztowej i z kosza również.

W prawym dolnym rogu monitora pokazał się komunikat (Microsoft Security Essentials), że zostało wykryte zagrożenie na komputerze na zielonym tle, tak jakby komputer zatrzymał zagrożenie. Ikona po chwili zgasła.

Później działanie komputera było prawidłowe.

Po czym zalogowałam się do banku, zrobiłam przelew, wylogowałam się i otrzymałam telefon z banku iż na komputerze mam wirusa i żebym zmieniła hasła do konta oraz przeinstalowała system windows dla bezpieczeństwa.

Na innym komputerze zmieniłam hasła.

Potem komputer przeskanowałam:

 

Combofix  przesyłam log z combofixa

Eset online scaner

Microsoft Security Esentials

 

Microsoft Security Esentials wykrył:

BrowserModifier:Win32/Linkhortry

BrowserModifier:Win32/Prifou

TrojanDownloader:Win32/Silcon!cl

TrojanDownloader:Win32/Silcon!cl

 

Zgodnie z instrukcją przesyłam logi z FRST i GMER

Proszę o sprawdzenie czy zagrożenie dalej istnieje

Addition.txt

ComboFix.txt

FRST.txt

gmer.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tak dalej siedzi tyle, że musisz poczekać na osoby uprawnione w międzyczasie unikaj logowania się do jakichkolwiek serwisów.

C:\Users\Renia\AppData\Roaming\fieldbus-27
C:\ProgramData\alkene-8
HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] ()
HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] ()

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Log z ComboFix zbędny i kompletnie niepotrzebnie wykonany. Zanim następnym razem go użyjesz poczytaj: KLIK

 

 


 

Zostałeś zainfekowany aktualną metodą fałszywych wiadomości kurierskich. Złośliwe oprogramowanie (z mojej wiedzy) aktualnie ma zdolność do pozyskiwania haseł, więc na koniec dezynfekcji prewencyjna zmiana wszystkich haseł w serwisach obowiązkowe. Ponad to widzę trochę adware w systemie, które również należy wyplewić.
 
P.S: Tym razem MSE spisał się (mówię o tym, że przynajmniej powiadomił), lecz jego wykrywalność pozostawia wiele do życzenia. Przejrzyj zewnętrzne oprogramowania zabezpieczające - KLIK, najlepiej wybierz któryś z nich. Polecam darmowe rozwiązanie od Avast. 
 
1. Przez panel sterowania odinstaluj:

  • Adware / PUP: SafeFinder.

2. Otwórz Notatnik w nim wklej: 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [alkene-3] => C:\ProgramData\alkene-8\alkene-5.exe [704512 2017-03-03] ()
HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\RunOnce: [fieldbus-5] => C:\Users\Renia\AppData\Roaming\fieldbus-27\fieldbus-33.exe [685056 2017-03-03] ()
C:\ProgramData\alkene-8
C:\Users\Renia\AppData\Roaming\fieldbus-27
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3464695867-941898725-524424986-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3464695867-941898725-524424986-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOJQK2RMTSLe26fWBfg77wOFPJSnkc01mX-3yTZpVl7LDyr0TQqov0GWbQEyLhj3d8QbcuLckVJvbRFQcV9olnM1f80u1kU1WdLk2HyPTWhp3DMGR8KqnCvwnvacojhk3I4GacrfUvSurRag8bRLozImt89PFyF&q={searchTerms}
CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Default -> SafeFinder
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
2016-06-21 08:07 - 2016-06-21 08:07 - 6867968 _____ () C:\Users\Renia\AppData\Roaming\agent.dat
2016-06-21 08:07 - 2016-06-21 08:07 - 0067968 _____ () C:\Users\Renia\AppData\Roaming\Config.xml
2016-06-21 08:07 - 2016-06-21 08:07 - 0014448 _____ () C:\Users\Renia\AppData\Roaming\InstallationConfiguration.xml
2016-06-21 08:07 - 2016-06-21 08:07 - 0128512 _____ () C:\Users\Renia\AppData\Roaming\Installer.dat
2016-06-21 08:07 - 2016-06-21 08:07 - 0018432 _____ () C:\Users\Renia\AppData\Roaming\Main.dat
2016-06-21 08:07 - 2016-06-21 08:07 - 0005568 _____ () C:\Users\Renia\AppData\Roaming\md.xml
2016-06-21 08:07 - 2016-06-21 08:07 - 0126464 _____ () C:\Users\Renia\AppData\Roaming\noah.dat
2016-06-21 08:08 - 2016-06-21 08:08 - 0032038 _____ () C:\Users\Renia\AppData\Roaming\uninstall_temp.ico
2016-06-21 08:07 - 2016-06-21 08:07 - 1759964 _____ () C:\Users\Renia\AppData\Roaming\Villanix.tst
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {30D9BF8B-8C43-42B7-BD72-93EB917AD051} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {F2B6FDE4-4E8B-46F3-B72F-1992C8DD7357} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR 01 badania — skrót.lnk
C:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw pracownika projekt.lnk
C:\Users\Renia\Desktop\BIEŻĄCE\PROJEKT PFRON\ośw. użytkownika Personel.lnk
C:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Zakresy obowiązków\OPIEKUN BRWINÓW.lnk
C:\Users\Renia\Desktop\BIEŻĄCE\PRACOWNICZE\Umowy zlecenia\Szymański A\Umowa zlec A.Szymański.lnk
C:\Users\Renia\Desktop\BIEŻĄCE\NAPISY\napis zatrudnienie zus zgłoszenia — skrót.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Renia\AppData\Local\Mozilla
C:\Users\Renia\AppData\Roaming\Mozilla
C:\Users\Renia\AppData\Roaming\Profiles
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Zastosuj narzędzie AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.

4. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Jeżeli chodzi o pkt1 to nie znalazłem w panelu sterowania SafeFinder

 

Czyli prawdopodobnie była to reszta, usunę po niej klucz w rejestrze. 

 


 

Większość pomyślnie wykonana, zostaję tylko do zwalczenie infekcja, która ma najwyraźniej gdzieś swój punkt reinfekcji. 

 

Czy podpinałeś w ostatnim czasie jakieś dyski zewnętrzne pod ten komputer? 

 

1. Zagrożenie wykryte przez Malwarebytes daj do kasacji, komentując je powiem, że to drobnostki od adware / PUP. 

 

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3464695867-941898725-524424986-1000\...\Run: [paraffin-3] => C:\ProgramData\paraffin-39\paraffin-1.exe [715776 2017-03-03] ()
Startup: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk [2017-03-03]
C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microamp-21.lnk
ShortcutTarget: microamp-21.lnk -> C:\Users\Renia\AppData\Roaming\microamp-85\microamp-63.exe ()
RemoveDirectory: C:\ProgramData\paraffin-39
RemoveDirectory: C:\Users\Renia\AppData\Roaming\microamp-85
C:\Users\Renia\Desktop\ZATRUDNIENIE\REKRUTACJA\Umowy z placówkami\UMOWA NR   01 badania — skrót.lnk
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3CAD43DF-E80A-459E-A5C3-C38C278C101D} /f
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Renia\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Poproszę o kolejny skan, tym razem narzędziem HitmanPro. Jak wyżej - jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wygląda to lepiej. Pendirva to również dysk zewnętrzny - prawdopodobnie jest zainfekowany. Komputery, do którego go podpinałeś poddaj kwarantannie* sam pendrive przyszykuj.

Wynik z HitmanPro sugeruję, że to jakiś nowy wariant ataku, bo wcześniej infekcją był Spyware, natomiast teraz wygląda to na Ransomware. Czy jakieś dane zostały zaszyfrowane?  

 

1. Wyniki z HitmanPro oprócz detekcji z programem FRST wszystkie daj do kasacji. Dostarcz raport z tej dezynfekcji.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\tqf
DeleteQuarantine: 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy zestaw raportów FRST w celu oceny, dostarcz plik Fixlog. 

 

* - nie wysyłaj maili z załącznikami, nie podpinaj urządzeń z pamięcią zewnętrzną, nie wykonuj żadnych operacji związanych z pieniądzmi, nie wrzucaj żadnych plików. Nie loguj się w żadnych serwisach. Zrób raporty z tego komputera, do które podpinałeś pendriva. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Na tym systemie jest OK. Zastoju DelFix.
 



 
Teraz czekam na raporty z pozostałych systemów, z którymi miał styczność pendrive. 
 

Czym przeskanować pendrive?

 
Tym zajmiemy się, na końcu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wielkie dzięki za zainteresowanie się problemem i szybką pomoc:)

Raporty z pozostałych systemów prześlę w przyszłym tygodniu (po 12 marca) jak wrócę do pracy

Swojego staruszka z xp nie będę już skanował, on i tak jest już do odstawki, a przynajmniej do formatu.

Chociaż wczoraj próbowałem, ale zawiesił się na GMER

Nowe raporty zamieszczę w tym temacie, nie będę zakładał nowego.

Jeszcze raz wielkie dzięki i pozdrawiam

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

OK, w takim razie czekam. Czy możemy przejść do dezynfekcji pendriva? Powiedz mi jeszcze czy na pewno żadne pliki nie zostały zaszyfrowane? 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Prawdę mówiąc nie jestem użytkownikiem tego lapka, ale z tego co się orientuję to nie. Na chwilę obecną nic więcej w tym temacie nie powiem.

Oczywiście możemy przejść do dezynfekcji pendriva. Co mam zrobić

Edytowane przez Miszel03
Usuwam zbędne formatowanie w poście. Odpowiem później. //Miszel03

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Oczywiście możemy przejść do dezynfekcji pendriva. Co mam zrobić

 

Podepnij pendriva do protu USB er i zrób z niego raport z opcji Research i Listing za pomocą USBFix

 


 

Ten system nie został zainfekowany (ale i tak standardowo w takich przypadkach wdrążam również skan).

 

Skan Gmer wyłapał obecność Rootkit 

 

Fałszywy alarm.

 

1. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO: Brak nazwy -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> Brak pliku
Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  Brak pliku
U3 idsvc; Brak ImagePath
S3 MSICDSetup; \??\F:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
Task: {0138A8FD-A09B-4F0D-AFA1-8C8079C13518} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {3990B779-5E44-43BE-A203-FDAC39D77312} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3E22D726-0A8A-4BB2-A891-81674154561A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {5D982CFE-4CE2-4427-8DEE-8FC997123932} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {61BD247E-B23E-4796-8582-AFD2809D37A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {6D81200E-ECD0-42FA-AB9C-C2403499FEF7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {815C13FE-8053-48DB-BFDD-94C3B9A854EC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {86D250AD-B6DC-46FA-8B3C-BEF06832D702} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {8E594526-D7F1-4963-9000-A09EFBD81CBE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {918AF789-F7DB-4A1B-BC1F-9E5F7127B428} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {AAA479E9-0A98-40B6-9545-F65E382E16E5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {ACECBC0F-9CE0-4600-9392-825692CFF39C} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku 
Task: {BD75B43E-7A45-467C-B61E-A7B08677AAF7} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku 
Task: {C010BBC2-4B51-46EB-80D6-001DC784BEAB} - System32\Tasks\{FFBF6180-448C-4920-8999-5C1B471C8207} => pcalua.exe -a C:\Users\Właściciel\AppData\Local\Temp\Temp1_FontShow.zip\FontShow_Setup.exe 
Task: {D5C746C4-A9E4-4C94-A84B-FE417825AC9D} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku 
Task: {F0AD4DF0-CE44-4402-97E3-8217DF70B162} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {F0E542C0-8463-47A1-84E8-07923412DDD5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Do kasacji nadają się tylko trzy poniższe detekcje wykryte przez HitmanPro.

 

HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel)

HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QSqlDriverFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel)
HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Plugin Cache 4.8.false\C:\Program Files (x86)\Mobogenie\ (Rocketfuel)
 
Jeśli chodzi zaś o pendrive to tylko na urządzeniu G:\ coś zostało wykryte. Podepnij go i kliknij Clean
Uwaga: aplikacje usuwa katalogi o nawie muza i muzyka (jeśli takowe odnajdzie). 
 
P.S: Widzę, że masz na pendrive instalki aplikacji SpyHunter - a to bardzo wątpliwa aplikacja. Usunąć. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Jak ostatnio: tutaj też nie doszło do infekcji, ale i tak przeprowadzimy skan (oczywiście, niewykluczone, że ta infekcja w ogóle nie rozprzestrzenia się poprzez USB).
 
1. Otwórz Notatnik w nim wklej:
 
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X] Winlogon\Notify\ScCertProp: wlnotify.dll [X] C:\Users\Public\polpdfedit.exe C:\Users\Marcin\AppData\Roaming\Microsoft\Excel\zestawienie%20527%20za%202016305790801607721262\zestawienie%20527%20za%202016.xls.lnk DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Marcin\AppData\Local\Mozilla
C:\Users\Marcin\AppData\Roaming\Mozilla
C:\Users\Marcin\AppData\Roaming\Profiles EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak, możemy kończyć, wielkie dzięki za skuteczną i szybka pomoc. Wielki szacunek dla wiedzy. Pozdrawiam

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Zaktualizuj również ważne programy - KLIK.  

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...