Miszel03

W raportach brak oznak infekcji, a kosmetykę pomijam, bo w tym przypadku jest ona kompletnie nieistotna. Temat przenoszę do działu Pozostałe zagadnienia komputerowe. Dostarcz raport CrystalDiskInfo w celu analizy dysku.

Wpisałem Twój temat na listę priorytetów, ze względu na to, że długo czekałeś. W systemie nadal widać modyfikacje infekcji typu adware / PUP. Problem powoduje szkodliwie zmodyfikowana mapa domen w przeglądarce IE oraz zarażony plik Hosts. Oprócz tego zostało kilka polityk ograniczających ustawienia bezpieczeństwa. Od razu przechodzimy do działań. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{004B49B7-11B9-5058-FF22-08DD093ADC4B}\InprocServer32 -> {187DF4CA-9468-D082-9C64-0CE985889A47} => Brak pliku CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{DD0822FF-3A09-4BDC-B749-4B00B9115850}\InprocServer32 -> {58AD1D9A-9468-D082-CC8D-DCA985889A47} => Brak pliku CustomCLSID: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\Wojtek\AppData\Local\Citrix\GoToMeeting\4628\G2MOutlookAddin64.dll => Brak pliku Task: {243C128E-D8C6-487A-AF09-0400697FAF5A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {0A4A9412-7651-4316-BF96-B0D362FC846A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {326470D3-5250-49CB-892C-024019B3871C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3ACD5F94-48AD-4260-B3E9-2E85B704FF63} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4C393FDD-3743-4534-A3FA-A0C50C986FF2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {51C53C5F-6FD1-49DB-83CC-64D227A21036} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {95EB6F3C-F0A2-4AE4-82C6-21B0733FD0FB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9F997FC8-675D-44B4-A7AF-97EC364EE683} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AEF9A10D-2D70-4B09-B156-64715931E4E0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BAED3869-D434-4AF7-9B78-4AEFCEC0C2D2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7D841D4-012A-435C-BAB8-BE2F9BC7BCF9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {FFFE8971-0FFF-4623-9505-236BE13BDDF1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0 HKLM\...\Policies\Explorer: [NoInstrumentation] 1 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\system: [NoDispAppearancePage] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoPreviewPane] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoTrayContextMenu] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoSetTaskbar] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideClock] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCANetwork] 0 HKU\S-1-5-21-1415446754-3198373632-3723623690-1001\...\Policies\Explorer: [HideSCAVolume] 0 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyUsers\S-1-5-21-1415446754-3198373632-3723623690-1002\User: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\Users\Julia i Pati.Wojtek-laptop\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\Wojtek\Desktop\Media Player Classic (x64).lnk C:\Users\Wojtek\Desktop\S Note.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains IE Session Restore: HKU\S-1-5-21-1415446754-3198373632-3723623690-1001 -> [funkcja włączona] CMD: dir /a "C:\WINDOWS\system32\Drivers\etc" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne, czysto kosmetyczne (sprzątanie systemu z martwych wpisów / resztek po odinstalowanych programach). Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie będzie prowadzona dalsza pomoc.

To zrozumiałe i oczywiście podam indywidualne instrukcję, ale zapomniałeś dołączyć log Addition (+ logi mają być bez dat, czyli z miejsca, z którego uruchomiłeś FRST, a nie z archiwalnego C:\FRST).

Nic nie wskazuję na istnienie jakiekolwiek infekcji w raportach (a proces aktualizacji systemu na to nie wpłynie, choć należny je wdrążyć). Potencjalnie crack AutoKMS mógłby za to odpowiadać, bo nigdy nie wiadomo co w nim jest. Jeśli to się powtórzy to można uważać, że Windows Defender wymaga resetu komponentów. Poobserwuj.

Treści nie związane z tematem usuwam stąd. Pomoc będzie prowadzona w drugim Twoim temacie. Jeśli zaś chodzi o ten system to również uważam, że powinno być w porządku i będziemy kończyć. Zastosuj DelFix oraz wdrąż aktualizacje systemu i ważnych programów.

Właściwie to nie zostało dużo do czyszczenia. Sprzątam resztki po różnych programach z systemu oraz po adware. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {050C5750-0E10-4730-88C1-E404F9F39CB2} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {67921E68-0E69-46BD-8994-9C89A45D193C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {1AAFF157-1336-44E3-95B1-35304EB7430B} - \Motorola Device Manager Initial Update -> Brak pliku Task: {65D50F3C-D33F-4340-B211-E425538BD55F} - \Motorola Device Manager Update -> Brak pliku Task: {F424873B-396D-441B-A3C4-0C8C02338EE3} - \Motorola Device Manager Engine -> Brak pliku ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> QzpcVXNlcnNcQWRtaW5cQXBwRGF0YVxMb2NhbFxHb29nbGVcQ2hyb21lXEFwcGxpY2F0aW9uXGNocm9tZS5leGU= aHR0cDovL3BvbGZpb2xzcGluby5ydS8= HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1316472202-468312428-810512762-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1316472202-468312428-810512762-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1316472202-468312428-810512762-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1316472202-468312428-810512762-1000 -> {C7CD7E9B-C325-4DB8-8CD2-61960AC38EE7} URL = BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku S4 PLAY ONLINE. RunOuc; C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [X] S2 WsDrvInst; C:\Program Files (x86)\Wondershare\Dr.Fone for Android\Library\DriverInstaller\DriverInstall.exe [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 CLMirrorDriver; system32\DRIVERS\CLMirrorDriver.sys [X] S3 clwvd7; system32\DRIVERS\clwvd7.sys [X] S2 WCMVCAM; system32\DRIVERS\wcmvcam64.sys [X] C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\Slideshow Music.lnk C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\Videos & Sounds.lnk C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Demo.LNK C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Demo_3D.LNK C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_Studio-Preview.LNK C:\Users\Admin\Documents\MAGIX\Movie Edit Pro 2014 Plus (Steam)\_TV Anti Cropping.LNK C:\Users\Admin\Desktop\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BackupRemind.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY ONLINE\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010 Pro ACTIVATOR TOOLKIT\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.6.lnk C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk C:\Users\Gość.ADMIN-PC\AppData\Roaming\Microsoft\Excel\INVOICE%20Adrian%20WZÓR305511854279808753\INVOICE%20Adrian%20WZÓR.xlsx.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeglądarki Google Chrome i Mozilla FireFox są strasznie zawalone i zmodyfikowane przez adware. Najprościej będziesz zacząć od zera, czyli przeinstaluj obie przeglądarki wcześniej resetując synchronizacje (KLIK / KLIK). 3. Upewnij się, że AdwCleaner już niczego nie wykrywa. Gdyby jednak coś wykrył to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

To crack, najczęściej aktywator lewego Offica. Zapoznaj się z zasadami działu.

Raporty mają być bez dat, czyli nie z archiwalnego C:\FRST tylko z miejsca, w którym został uruchomiony FRST.

Brakuję raportu Shortcut.

Dostarcz nowy zestaw raportów FRST.

Tyle razy tutaj powtarzamy, że jeśli nie ma się odpowiedniej wiedzy o systemie operacyjnym to nie powinno się próbować korzystać z FRST na własną rękę. Poproszę (bo nie załączyłeś) o raport wynikowy Fixlog by zobaczyć konkretnie co zostało ruszone, by móc to przywrócić z kwarantanny oraz kompletny zestaw nowych raportów FRST.

W raportach brak oznak infekcji. Rozumiem, że problem występuję w przeglądarce Google Chrome? Przeinstalujemy ją na czysto i wykonamy skan antywirusowy, który pewnie nic nie wykaże, bo ja bym wychwycił infekcje w raportach. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Zastosuj się do zasad działu.

Dzięki za paczkę. Wszystko pomyślnie wykonane, ale musisz odnowić plik Hosts, bo jest uszkodzony, czyli pobierasz ten plik i wrzucasz go do lokalizacji C:\WINDOWS\system32\drivers\etc FSS nie wykazał naruszeń, ale za to wykazał, że usługa Centrum Zabezpieczeń jest wyłączona, więc: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem i uruchom ponownie komputer. Jak oceniasz obecną sytuację?

Zrób nowe raporty FRST.

Dostarcz raport z Farbar Service Scanner w celu diagnostyki tej usługi. Spoko, nie ma sprawy. W każdym razie infekcje zostaną w całości usunięte po wykonaniu ostatniego skryptu. Przy okazji pobieram sobie kopie zadań Task, bo są tam zadania, które trzeba zgłosić do wydawcy FRST, by naprawić pewien błąd. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [FMDANISCXL.exe] => C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR\FMDANISCXL.exe C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR C:\Users\jedynak\AppData\LocalLow\zwMRXEuCYLuhR Zip: C:\FRST\Quarantine\C\Windows\System32\Tasks Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Na pulpicie powstanie archiwum na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki. 3. Dostarcz plik Fixlog.

Nie, bo na razie został przeprowadzony tylko skan bez żadnej ingerencji w system. Przywróć system z punktu Restore Point Created by FRST i powiedz czy problemy ustąpiły. Najwyżej zrobimy to od nowa, ale to na pewno nie FRST spowodował uszkodzenie.

Od tego działo to by było wszystko, bo system nie jest zainfekowany. Dysk w porządku tak jak mówi Groszek. Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie będzie prowadzona dalsza pomoc, ale już przez kogo innego.

Takie działania odbieram jako trochę brak szacunku do okazywanej przeze mnie pomocy. Dostarcz mi nowe raport FRST te są nieaktualne, bo MBAM dokonał kolosalną dezynfekcję, której ja nie pochwalam, bo robi to w mało elegancki sposób (ale to dobry produkt).

Te problemy nie zostały spowodowane przez akcje wykonywane tutaj na forum. Powiedz mi szczerze: wykonywałeś jakieś operacje nadprogramowe?

Odniosę się tylko do części o zgłoszeniu sprawy na policji w resztę się nie zagłębiam. W momencie, w którym mamy jasne dowody na to, że ktoś nas szpieguję (podkreślam znowu: jesteśmy w potencjalnym niebezpieczeństwie!) mamy pełne prawo udać się na komisariat policji lub (kiedy podejrzewamy, że może nas nawet obserwować) zadzwonić na numer alarmowy. Policja potrafi uwierzcie mi zająć się taką sprawą poważnie. Policjant wyczuje kiedy dane osoba zmyśla, a kiedy rzeczywiście jest przerażona. Zawsze przecież może skonsultować go z psychologiem. Powiecie, że to jest niepotrzebne zajmowanie służb itd. ale oni właśnie od tego są, od pomagania i zapewniania bezpieczeństwa. Jak osoba chora zgłosi się na policje z taką sprawą to też dobrze, bo zostanie jej zaproponowana pomoc psychologiczna!

Temat został założony w złym dziale. W tej sekcji leczymy systemy z infekcji, a Twój problem to problem typowo związany z Hardware - tam też przenoszę Twój temat.

W raportach brak oznak infekcji. Wdrążam tylko kosmetykę systemową czyli sprzątanie resztek po wcześniej odinstalowanym oprogramowaniu, usuwanie martwych wpisów / skrótów oraz polityk. To wszystko chowam do spoilera. Temat przenoszę do działu Pozostałe zagadnienia komputerowe (dostarcz raport z CrystalDiskInfo w celu analizy dysku).

Raporty zostały wykonane za pomocą wersji z marca 2016 roku. FRST jest bardzo często aktualizowany i wymaganym jest używanie jego najnowszej wersji. Wygeneruj raporty na nowo i wklej je na wklej.org bądź załącz jako załączniki na forum.