Miszel03

Trudno będzie coś na to poradzić - masz niewspierany już system. Jeśli Twój sprzęt na to pozwala to przesiądź się na najnowszy system. Ja się zajmuję tylko usuwaniem infekcji - co z pomyślnością tu zrobiłem. Jak mówie: trudno mi w tym zakresie coś doradzić. Tak, proszę wykonać wszystkie aktualizacje zarówno dla niewspieranego systemu jak i oprogramowania zewnętrznego - KLIK. Zastosuj również narzędzie DelFix.

System wygląda na uszkodzony, albo po prostu piracki (wszystkie usług systemowe są niepodpisane przez Microsoft). Jeśli zaś chodzi o raporty to brak jawnej infekcji - odbędzie się sprzątanie resztek. Wdrążę również skan antywirusowy. Problematyczna przeglądarka do deinstalacji. Po wykonaniu tych działań przejdziemy dalej z diagnostyką. 1. Przez Panel Sterownia odinstaluj program adware / PUP: YTD Video Downloader 5.8.2. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129] AlternateDataStreams: C:\ProgramData\TEMP:85E5F208 [129] HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\imageres.dll,-68 <==== UWAGA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellar Phoenix Repair for JPEG\Stellar Phoenix Repair for JPEG Help.lnk C:\Users\jan\Desktop\pr do odzyskiwania\Continue Free Video Editor installation.lnk C:\Users\jan\Desktop\pr do odzyskiwania\ACDSee32\Shortcuts\ACDSee32.lnk C:\Users\jan\Desktop\JACEK-SERWIS\Malwarebytes Anti-Malware.lnk Winlogon\Notify\igfxcui: igfxdev.dll [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA SearchScopes: HKLM -> DefaultScope - brak wartości S2 HP LaserJet Service; Brak ImagePath S3 WinHttpAutoProxySvc; winhttp.dll [X] S3 catchme; Brak ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_cdcecm; system32\DRIVERS\ew_cdcecm.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Ja nie mam na to pomysłu, system z infekcji wyczyściłem i na tym kończy się moja rola. Temat przenoszę do działu Pozostałe zagadnienia komputerowe - powiadomię moderatora Groszka - on ma w tym zakresie ogromną wiedzę.

Wszystko daj do kasacji. Powiedz na czym stoimy - co chcesz jeszcze naprawić, bo problem z reklamami mamy z głowy.

Temat wyczyściłem - posty nie związane z pomocą skasowałem. To oczyści atmosferę. Jedziemy dalej z pomocą jak gdyby nigdy nic P.S: Dziękuję za to, że Ty też pomagasz ludziom w swojej dziedzinie charytatywnie - nie każdy ma możliwość oddania komputera do seriwsu. SFC odnalazło naruszenia, ale zdołało je naprawić. Skrypt FRST pomyślnie wykonany, nie wiem dlaczego Aero nadal nie działa - odbudowałem cała usługę, więc uszkodzenie musi siedzieć głębiej - konsultuje się właśnie z picasso w Twojej sprawie.

Jest infekcja podszywająca się pod Windows Defender. Wydaję mi się, że wykryłem już taką infekcją gdzieś - to była chyba infekcyjna koparka BitCoin co mogło by tłumaczyć problemy z Twoim systemem. Jeśli jednak po dezynfekcji problemy nie ustąpią to poszerzymy diagnostykę. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2405281539-2643959435-1294618563-1001\...\CurrentVersion\Windows: [Load] C:\Users\Lecho\AppData\Roaming\WinDefend\WinDefend.exe.lnk C:\Users\Lecho\AppData\Roaming\WinDefend\WinDefend.exe.lnk R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 klbackupdisk; system32\DRIVERS\klbackupdisk.sys [X] C:\Users\Lecho\AppData\Local\Tempz* ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV\Europa Universalis IV.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (przy okazji: odinstaluj blokery reklam, które kłócą się nawzajem, zostaw jeden, proponuje uBlock Origin). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania kosmetyczne. Na przyszłość: programy typu DLL-Fixer (widzę ich ślady w raportach) to niebezpieczne twory - pliki nie są nigdzie zweryfikowane i mogą nieść za sobą przykre konsekwencje. Posiadasz oprogramowania zabezpieczające firmy Qihoo, więc: z firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. Temat przenoszę do działu Sieci.

Najpierw podaj raporty z dwóch poprzednich komputerów - muszę zweryfikować, czy to nie był przypadkiem Jeefo. Następnym komputerem zajmę się później.

Uważam, że sprawy infekcji muszą zejść na drugi tor pomocy. Temat przenoszę do królestwa Groszexxx - działu Hardware.

Tak, detekcje są tylko w lokalizacji kwarantanny COMOD - zignoruj. A co rozumiesz przez "program zamarza"? Te guziki nie reagują na kliknięcie? Odinstaluj to oprogramowanie za pomocą dedykowanego deinstalatora MB-Clean, a następnie zainstaluj ponownie. Czy problem ustąpił, a konkretnie to czy reklamy ustąpiły? Kliknij klawisz Windows + R, następnie w polu wyszukiwania wpisz frazę services.msc > kliknij ENTER > na liście usług odnajdź Usługa powiadamiania o zdarzeniach systemowy > kliknij PPM na nią > na liście wybierz właściwości > typ startu ustaw na automatyczny > kliknij Zastosuj > uruchom ponownie komputer. Jest w sumie jeszcze taka znachorska metoda dot. zresetowania łańcucha WinSock, piszę znachorska, bo robiona na czuja. Jeśli powyższe zawiedzie to uruchom jako administrator CMD i w oknie komend użyj polecenia netsh winsock reset, a następnie uruchom ponownie komputer. Kliknij klawisz Windows + R, następnie w polu wyszukiwania wpisz frazę services.msc > kliknij ENTER > na liście usług odnajdź Kompozycje > kliknij PPM na nią > na liście wybierz właściwości > typ startu ustaw na automatyczny > kliknij Zastosuj > uruchom ponownie komputer. Jeśli to nie przyniesie żadnych rezultatów to pokaż mi cały stan usługi: Uruchom SystemLook i w oknie programu wklej: :reg HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

Akcja pomyślnie wykonana. Jak mówiłem - reklamy nie mają u Ciebie podłoża infekcyjnego (zresztą AdBlock nie zablokował by takich). Powiedz jak podsumowujesz obecną sytuację.

Skanowanie naruszeń integralności systemu Windows nie wykazało żadnych naruszeń. Jeśli chodzi zaś o dysk to posługujesz się nieprawidłowym oprogramowaniem. To CrystalDiskMark, a ja wskazałem CrystalDiskInfo. W momencie, w którym jesteś na stronie producenta należało wybrać zakładkę Software i pobrać omawiany program. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to jedynie resztki po starych infekcjach adware / PUP.

W raportach brak oznak infekcji. Drobną kosmetykę systemową pomijam, bo jest ona całkowicie nieistotna w tym momencie. Temat przenoszę do działu Hardware, ze względu na podejrzenia problematycznej pamięci.

O ile komputer pierwszy wyczyściłem prawidłowo, tak w drugim może istnieć prawdopodobieństwo infekcji plików wykonywalnych. Proszę o zgłoszenie się na forum z nowym zestaw raportów FRST.

Wszystko pomyślnie wykonane, skanowanie Integralności odnalazło uszkodzenia, ale zdołało je naprawić - od tej strony wszystko jest OK. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to szczątki, głównie w rejestrze po oprogramowaniu PUP. 2. Sprawdź czy podczas włączonego rozszerznia AdBlock Plus reklamy się włączają - jeśli nie, oznacza to, że to reklamy są o podłożu nieinfekcyjnym. Jak sam wejdę na ten serwis co podałeś to mam multum reklam bez włączonego uBlock Origin - taki dzisiejszy Internet. Jest niestety uszkodzenia, na które SFC jednak nie ma wpływu (i trzeba je zdiagnozować inaczej): U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Muszę się skonsultować z picasso.

McAfee ma kontrowersyjne techniki instalacji - to często widziane produkty tu na forum. Program sam w sobie nie zły, ale osobiście wolałbym bazować na jakimś bardziej spopularyzowanym oprogramowaniu. Pomimo odparcia zarzutów przez Kaspersky Lab, udostępnił też on kod swoich produktów dla ważnych organizacji i rządów - to jest wystarczający dowód na to, że Kaspersky dba o swoją reputację i nie pozwoli sobie o pomówienia na jego temat. Przypomnę: INTERPOL i Niemcy wydały oświadczenia, że nie ma żadnych dowodów na to, że Kaspersky szpiegował kogokolwiek. Apropos pisania: piszą...piszą, ale nie widzą co Niebezpiecznik stracił w moich oczach, zresztą to już nie pierwszy artykuł w tym tonie.

Pomoc na tamtym forum, była prowadzona na szybko i bez dokładnej analizy raportów. Efekt: przeoczona została infekcja adware w przeglądarce Google Chrome, po za tym tamtejszy moderator zadał skanowanie Integralności, które ewidentnie wykazało jakieś naruszenia - ale nie raczył o tym zawiadomić i prowadzić dalszej diagnostyki. Drobną kosmetykę systemową pomijam, bo wydaję się być kompletnie nie istotna. 1. Ustawienia > karta Rozszerzenia > odinstaluj adware BestY NewTab oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz przefiltrowany raport z opcji sfc /scannow w celu weryfikacja jednego alertu z FRST.

W raportach brak oznak infekcji, skąd przypuszczenie, że system jest zaniedbany? Ilość zablokowanych reklam jest mało istotna - oprogramowanie typu AdBlock / uBlock Origin nie zablokuje reklam o podłożu infekcyjnym. Będziemy się zajmować kosmetyką systemową, czyli sprzątaniem systemu z resztek itd. Dla pewności wdrążymy również kompleksowy skan antywirusowy. 1. Przez Panel Sterowania odinstaluj przestarzałe i nieskuteczne już oprogramowanie: Spybot - Search & Destroy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-18\...\Policies\Explorer: [HideClock] 0 GroupPolicy: Ograniczenia SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = Toolbar: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx S3 ALSysIO; \??\C:\Users\Asus\AppData\Local\Temp\ALSysIO64.sys [X] S3 iscFlash; \??\C:\Users\Asus\AppData\Local\Temp\7zS432C.tmp\iscflashx64.sys [X] S3 TDKLIB; \??\C:\Users\Asus\AppData\Local\Temp\TdkLib64.sys [X] S3 zlportio; \??\C:\Users\Asus\AppData\Local\Temp\7zO4CC1.tmp\zlportio.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] S3 RwDrv; \??\C:\Windows\SysWOW64\Drivers\RwDrv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfoX64.sys [X] S3 GENERICDRV; \??\G:\medion\amifldrv64.sys [X] U0 sr; Brak ImagePath U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath 2017-11-11 19:26 - 2017-11-11 19:34 - 000000000 ____D C:\Program Files\Reimage 2017-11-11 19:25 - 2017-11-11 19:33 - 000000150 _____ C:\Windows\Reimage.ini C:\Users\Asus\AppData\Local\Temp*.html ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> Brak pliku Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku AlternateDataStreams: C:\ProgramData\Temp:115CEE00 [126] AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [260] AlternateDataStreams: C:\ProgramData\Temp:A724744F [246] AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [121] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\License Agreement.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Registration.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker Wizard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\RAR Password Cracker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker\Äë˙ đóńńęčő.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Honeywell\EZConfig-Scanning v4\EZConfig-Scanning v4_Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park\Game Park.lnk C:\Users\Asus\Desktop\ubranka itp.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ViewPlayCap.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz przefiltrowany raport z opcji sfc /scannow w celu weryfikacja jednego alertu z FRST. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Miło mi to słyszeć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Sprzęt? Hardware? W ogóle, bo raporty mogą tylko w małym stopniu sugerować problemy z np. dyskiem w Dzienniku Zdarzeń. Od tego są inne narzędzia - idąc za przykładem z dyskiem to np. CrystalDiskInfo. Jeśli zaś chodzi o sam system to myślę, że dobrze by było dać je do analizy, kiedy dzieję się coś niezwyczajnego.

Wszystko pomyślnie wykonane, stare dane z Centrum zabezpieczeń usunięte. Jak podsumowujesz obecną sytuację?

Posty łącze w jedną całość. Przez SHIFT + DELETE skasuj ten plik: C:\Windows\svchost.exe. Nie wiedzieć czemu ocalał, po chwili upewnij się, że już go nie ma. Jeśli nadal by powracał to zgłoś się na forum. Skoro problem ustąpił to kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W porządku, ufam, że wykonałeś skan Malwarebytes. Nie mogę otworzyć coś tej wklejki z Fixlog, no trudno już. Zrobimy od razu podejście drugie z zabiciem powłoki explorer - to powinno dobić infekcje. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] () [brak podpisu cyfrowego] C:\Windows\svchost.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt EDIT: Widzę, że jednak dodałeś raport, ale moje kroki i tak wykonaj (najwyżej się zdublują).

Proszę o raport Fixlog, jedna infekcja została - nie wiedzieć czemu. Reszta pomyślnie wykonana. Poproszę też o raport ze skanu Malwarebytes - mam wątpliwości, czy na pewno go wykonałeś (nie widzę go na liście zainstalowanych programów).

W porządku, więc skoro z Twojego punktu widzenia problem ustąpił i z mojego system wygląda w porządku to uznaję, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. KOMPUTER 2 Sprawa prezentuje się praktycznie identycznie jak w przypadku pierwszego komputera. Te same infekcje, trochę inny układ. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\IncrediMail Gallery.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\IncrediMail.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\Letter Creator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IncrediMail\Uninstall IncrediMail.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\More Games.lnk C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\IncrediMail 2.0.lnk C:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\maja-komp\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\maja-komp\Desktop\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\maja-komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108 AlternateDataStreams: C:\ProgramData\TEMP:B3D74A13 [160] R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] () [brak podpisu cyfrowego] C:\Windows\svchost.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.