Miszel03

Zatrzymał się na resecie repozytorium Centrum zabezpieczeń - wykonamy to ręcznie. Wykonaj skrypt ponownie (zmodyfikowałem go, jak i resztę instrukcji).

Wszystko pomyślnie wykonane i wygląda na to, że system doprowadzony do porządku. Jak podsumowujesz obecną sytuację?

Post podbijający kasuję. Nie jestem robotem. Nie siedzę tutaj 24h / 7. Komputerem drugim zajmiemy się jako skończymy pierwszy. Co z punktem 2?

Pokaż screen naprawy FRST (to okienko, w którym klikałeś Napraw) - będzie tam widoczny element, nad którym pracuje FRST.

Cześć infekcji usunięta pomyślnie, powoli zbliżamy się do końca, ale muszę zaostrzyć usuwanie ocalałych infekcji o zabicie powłoki explorer. Malwarebytes znalazło szczątki jeszcze innych infekcji, a nawet kilku aktywnych. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: C:\Users\wiczi\AppData\Roaming\1337 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ShellExperienceHost] => C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe <==== UWAGA C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe C:\Users\wiczi\Desktop\Рrzеglądаrkа Ореrа.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Рrzеglądаrkа Ореrа.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały usunięte skróty przeglądarek, ze względu na ich infekcje: stwórz nowe (oprócz Google Chrome). 4. W przeglądarkę Google Chrome instaluje się co rusz nowe rozszerzenie i wyszukiwarki. Podejrzewam głębokie modyfikacje, więc zamiast mozolnego procesu czyszczenia przeinstalujemy przeglądarkę. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Powtórz skan Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a ponownie dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Rozumiem, ale w takiej sytuacji lepiej zdać się na innych, doświadczonych ludzi. RougeKiller może być bardzo niebezpieczny, jeśli wyniki zostałby źle zinterpretowane. Ale generalnie to jest bardzo dobre podejście do życia Szkodliwe argumenty dołączone pod skróty nadal są obecne, ale oprócz tego widoczne są polityki grup blokujące niektóre modyfikacje. Ponad to osobna infekcja podszywa się pod usługę svchost. Powinniśmy się z tym szybko uporać. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia C:\Windows\svchost.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\majakuba\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\Desktop\chrome — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\Desktop\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://hao.169x.cn/?v=108 ShortcutWithArgument: C:\Users\majakuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://hao.169x.cn/?v=108 Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zostały już tylko resztki - w tym te, o których mówisz. Od razu wykonujemy poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-507921405-616249376-682003330-1004\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 BootExecute: autocheck autochk * HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-507921405-616249376-682003330-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Homepage: C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\owx0jt8y.default-1509185082640 -> S4 IntelIde; Brak ImagePath U4 sptd; System32\Drivers\sptd.sys [X] U1 WS2IFSL; Brak ImagePath ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => -> Brak pliku C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Office\Niedawny\Odwołanie.doc.LNK C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Office\Niedawny\Tarnobrzeg.doc.LNK C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Office\Niedawny\TOSHIBA (H).LNK EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj komponenty danych z Centrum zabezpieczeń. Kliknij klawisz z logiem Windows + R > Wpisz frazę services.msc > kliknij ENTER. Na liście usług odnajdź Instrumentacja zarządzania Windows > kliknij na nią > z panelu bocznego wstrzymaj jej działanie. Przejdź do lokalizacji C:\WINDOWS\system32\WBEM\Repository i skasuj jej zawartość. Ponownie przejdź do Instrumentacja zarządzania Windows i uruchom usługę. Uruchom ponownie komputer. 3. Dostarcz plik Fixlog. Zrób nowy log FRST i Addition, ale już bez Shrotcut.

Co z pkt. 5? Miałeś więcej szczęścia niż rozumu (), bo gdyby to był stary bootkit (jak podejrzewałem) to systemu byś już nie uruchomił. Na szczęście to inna infekcja.

Moje działania z pierwszego posta. W odpowiedzi na PW: plik Fixlog, będzie tam skąd uruchomiano FRST.

Raporty nie wykazują oznak infekcji (pomijając drobną modyfikacje startu Google Chrome). Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie będzie prowadzona diagnostyka, więc: 1. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 2. Dostarcz przefiltrowany raport z opcji sfc /scannow. 3. Dostarcz raport z CrystalDiskInfo w celu analizy dysku. W spoilerze zadaję działania poboczne, czyli sprzątanie resztek, martwych wpisów / skrótów.

Raporty nie wykazują oznak infekcji, więc problemu trzeba szukać gdzie indziej. Temat przenoszę do działu Sieci. W spoilerze zadaję działania poboczne, czysto kosmetyczne - bez związku z problemem.

Trudno było poczekać, prawda? Więc znowu: poproszę o nowe raport, bo te są nieaktualne i nie wiem gdzie leży problem po zastosowaniu RogueKiller.

Brakuje raportu trzeciego Shrotcut.

A co z tym tematem? Mam go zamknąć, nie będzie kontynuowany? Czy jak? System rzeczywiście jest zainfekowany i to infekcjami, które podszywają się pod usługi systemu. Oprócz tego widoczne są infekcje adware / PUP. Powinniśmy szybko się z tym uporać. 1. Przez Panel Sterownia odinstaluj adware / PUP: UmmyVideoDownloader, HPZebra. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ShellExperienceHost] => C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe [38912 2016-08-29] () <==== UWAGA C:\Users\wiczi\AppData\Local\Temp\System32\Logs\ShellExperienceHost.exe Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll Brak pliku R2 Windows; C:\Windows\svchost.exe [177152 2017-11-11] () [Brak podpisu cyfrowego] R2 dadxService_27243406; C:\ProgramData\dadxService\dadxService_27243406.exe [278528 2017-11-11] () [Brak podpisu cyfrowego] C:\ProgramData\dadxService C:\Windows\svchost.exe C:\Users\wiczi\AppData\Roaming\64.exe C:\ProgramData\rwi.xdad Task: {933E5625-70ED-4A2F-8E67-6B8D548AC523} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\wiczi\AppData\Roaming\Adobe\Manager.exe [2017-11-11] () C:\Users\wiczi\AppData\Roaming\Adobe\Manager.exe ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlc1xJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxJbnRlcm5ldCBFeHBsb3JlclxpZXhwbG9yZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\HPZebra\ZebraStarter.exe (iesbir KPEYFXYB) -> QzpcUHJvZ3JhbSBGaWxlcyAoeDg2KVxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL2NhcGNvbXNjYXZpLnJ1Lw== <==== Cyrillic C:\ProgramData\Microsoft\Windows\GameExplorer\{C6164193-9A45-4E52-84D9-558AC833ACA8}\SupportTasks\0\Spore.com.lnk C:\Users\wiczi\AppData\Local\Microsoft\Windows\GameExplorer\{C6164193-9A45-4E52-84D9-558AC833ACA8}\SupportTasks\0\Spore.com.lnk C:\Users\Public\Desktop\Download icq.lnk C:\Users\wiczi\Desktop\FL Studio 12.lnk C:\Users\wiczi\Desktop\securedisk — skrót.lnk C:\Users\wiczi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Quick Searcher oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Uruchom przeglądarkę Opera, wykonaj kombinacje klawiszy CTRL + SHIFT + E. Otworzy się Panel rozszerzeń - odinstaluj rozszerzenie Quick Searcher oraz Tables. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

One nadal są ucięte - musiałeś niepoprawnie wygenerować raporty. Wykonaj je jeszcze raz i dostarcz. Problem leży w skrótach argumentów (5 minut i po problemie), ale bez kompletu raportów nie przejdę do pomocy.

Wszystko pomyślnie wykonane. AdwCleaner nic nie wykrył. Poprawki (teraz powinien problem ustąpić, bo kasuje martwe wpisy CHR): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] CHR HKU\S-1-5-21-1244120915-4039251266-820905754-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\ARKADI~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napisz czy problem ustąpił? Dostarcz plik Fixlog.

Raport FRST i Addition jest ucięty - popraw.

W Interfejsie skanu masz przecież opcję Wybierz akcje, dla wyników, których lokalizacja wynosi C:\PROGRAMDATA\COMODO\CIS\QUARANTINE zastosuj opcje Pomiń, dla reszty zaś Usuń. To te same, tylko wcześniejszych nie usunąłeś. Nie ma potrzeby ich usuwania, aczkolwiek w Opcjach kwarantanny powinno być coś na ten temat.

Zasady działu mówią jasno jak to zrobić. Upewnij się, że masz trzy raporty: FRST, Addition i Shortcut. Dodatkowo - stosowałeś AdwCleaner. Poproszę z niego raport znajdujący się w C:\AdwCleaner.

Nie, z punktu widzenia technicznego problem infekcji nie może być spowodowany wiekiem Hardware. Powiedz mi jeszcze, której dokładnie przeglądarki dotyczy problem.

Wszystko pomyślnie wykonane i system uprzątnięty. 1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji. Pomiń tylko detekcję z lokalizacji C:\PROGRAMDATA\COMODO\CIS\QUARANTINE - to kwarantanna Comodo. 2. Raporty wyglądają już w porządku, powiedz czy jakieś problemy ustały i czy nie pojawiły się nowe.

Ten błąd często widziany jest jako pozostałość po infekcjach adware. Będziemy się zajmować sprzątaniem systemu z resztek po oprogramowaniu i PUP. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {39476EE7-407E-4B71-8ADA-B0E8C35A8AD2} - System32\Tasks\WinThruster64-Arkadius13-Notification => C:\Program Files\Solvusoft\WinThruster\Sync.exe Task: {87668741-C5C8-462E-96E5-ABE3CC249C79} - System32\Tasks\WinThruster64-Arkadius13-Startup => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe Task: C:\Windows\Tasks\WinThruster64-Arkadius13-Notification.job => C:\Program Files\Solvusoft\WinThruster\Sync.exe Task: C:\Windows\Tasks\WinThruster64-Arkadius13-Startup.job => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe C:\Program Files\Solvusoft HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKU\S-1-5-21-1244120915-4039251266-820905754-1000\...\Run: [AdobeBridge] => [X] S2 WsDrvInst; C:\Program Files (x86)\Wondershare\Wondershare dr.fone toolkit for Android\Library\DriverInstaller\DriverInstall.exe [X] U1 aswbdisk; no ImagePath S3 MSICDSetup; \??\E:\CDriver64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\GamerOSD\ASUS GamerOSD.lnk C:\Users\Arkadius13\Documents\lit\Start Tor Browser.lnk C:\Users\Arkadius13\Desktop\PROCODER\Tor Browser\Start Tor Browser.lnk C:\Users\Arkadius13\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Arkadius13\AppData\Local CMD: dir /a C:\Users\Arkadius13\AppData\LocalLow CMD: dir /a C:\Users\Arkadius13\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobądź się nadmiaru profili z przeglądarki Google Chrome - zostaw jeden, który rzeczywiście używasz lub kilka jeśli używają ich inne osoby. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Nieużywane profile skasuj. 3. Wyczyść przeglądarkę Google Chrome (na profilach, które są używane): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

System uprzątnięty. Wszystkie detekcje AdwCleaner do kasacji - to resztki po infekcjach. Rozumiem, że już nic nie jest wykrywalne? Miło mi to słyszeć, kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Nie rozumiem. Zwykłe dane np. dokumenty Word raczej nie mogą powodować takich problemów, inne sprawa, że gdyby były zarażone... Poproszę raporty z tego komputera. Całe dane wrzuć w jeden folder i przeskanuj za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Ta szczepionka Pandy nie wiem czy jest potrzebna. Masz dobrą ochronę od Comodo. Odsyłam do list z oprogramowaniem zabezpieczającym - znajdziesz je na forum.

W systemie są widoczne komponenty infekcji, czy związku z tą informacją Twoje zgłoszenie dot. prośby o skasowanie tematu jest nadal aktualne? Piszesz, że problem rozwiązany - jakie działania wykonałeś.? Zrób nowy zestaw raportów FRST.

Pkt. 2, 3 i 4. Poprzednio skrypt się nie wykonał z jakiegoś powodu.