Miszel03

W takim razie zmieniam zdanie, skoro są jakieś kontrowersje. Do zmiany ten uTorrent.

Hmm, nie dasz rady na czuja przez Przeszukaj ustawienia na samej górze wpisać Użyj z akceleracji sprzętowej, jeśli dostępna i spróbować wyłączyć​? Popróbuj, jak to jednak okażę się całkowicie nie wykonalne to wtedy napisz, będziemy inaczej kombinować.

Wejdź do Ustawień, następnie Zaawansowane i zdezaktywuj opcję Korzystaj z akceleracji sprzętowej, jeśli dostępna​. Uruchom ponownie przeglądarkę i sprawdź efekty.

Pośmiać to się można przy piwie z kolegą, albo w dobrym towarzystwie, gdzie znamy się nawzajem. Cóż, przykro mi, że w tych czasach symbol ZSRR, czy zwykłych zwyrodnialców traktowany jest z dystansem i jest na to ogólnie przyzwolenie. Może swastykę też zaczną sobie przyczepiać? Kpina. Jakim prawem on nazywa innych ludzi, o odmiennych wyznaniach politycznych? Jakim prawem? Prawem dystansu? Prawem, czego? Polityka na tym forum zakazana będzie zawsze, bo nikt tutaj się nie zna na tyle, by o niej publicznie dyskutować. To wrażliwy temat, a jeśli ktoś porusza go w taki sposób jak Januzi to świadczy to tylko o jednym.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 10. W spoilerze zadaję zadanie poboczne, bez związku z problemem.

Zobacz, to jest raczej niewykonalne ze względu na zastosowanie w dziale DPD. Czym dłuższy temat, tym dla użytkownika otrzymującego pomoc jest trudniej się połapać. My i tak sprzątamy tematy na bieżąco, łączymy nieznaczne posty itp. I jeszcze ostro skomentuję jedną rzecz. Gdybyśmy nie pilnowali polityki to doszło by do tego na co pozwala administracja Pclab. Kpina! Pomimo moich licznych upomnień mają mnie w głębokim poważaniu. Moderator tak się nie powinien zachowywać. Ba! Nikt tak się nie powinien zachowywać.

No właśnie, brakuje 3 raportów: FRST, Addition, Shortcut - mam nadzieję, że te chcesz załączyć. Dodasz je klikając w Edytuj w prawej, dolnej sekcji postu, a następnie już w panelu szybkiej edycji w środkowej, dolnej strefie klikając w Użyj pełnego edytora. Na dole będzie widoczna sekcja Dodaj plik - z niej skorzystaj. PS. Na przyszłość, możesz śmiało dodać w takiej sytuacji raporty jako nowy post. To przyśpieszy pomoc, a dla mnie łączenie postów to dosłownie 3 kliknięcia.

Czekam na wyniki. OK. OK, rozumiem. Na to odpowiem później.

Założyłeś temat w dziale leczenia infekcji systemu, więc pewnie taką podejrzewasz. Proszę o zastosowanie się do zasad działu: KLIK.

Więc tak: z modyfikacji infekcji wydaję się, że zostało rozszerzenie adware Cookies Control oraz modyfikacje skrótów przeglądarek. Nie możesz tego wyłączyć / odinstalować z poziomu Google Chrome, ponieważ na nią zostały nałożone polityki grup. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ContextMenuHandlers01: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\Programy\rarext.dll -> Brak pliku ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers06: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\Programy\rarext.dll -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome, a nim kliknij w Ustawienia > karta Rozszerzenia > odinstaluj Cookies Control. 4. Daj raporty z AdwCleaner, są w katalogu C:\AdwCleaner oraz raport z wykrycia Kasperskiego. Nowe raporty FRST zbędne, napisz czy wszystko się powiodło.

Zostawmy to na koniec.

System jest mocno zarażony infekcjami adware, ale widać tutaj również gagatki cięższego kalibru na powłoce startowej. Blokady certyfikatów oprogramowania zabezpieczającego, infekcja skrótów przeglądarki, adware w przeglądarkach i można by było jeszcze wymieniać. Od razu przechodzimy do działań. Portale z oprogramowaniem / Instalatory - na co uważać 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application. Wejdź do poniższych * folderów i z ich poziomu spróbuj uruchomić plik deinstalacjyjny (nazwa zbliżona do uninstall.exe) Jedynie sugeruję, że warto zapoznać się z nieciekawą historią marki IObit, czyli m.in kradzież bazy danych Malwarebytes. Czy coś takiego może zapewnić bezpieczeństwo lub być jego wzorem? Niech znajomy sam sobie odpowie na to pytanie i podejmie decyzje. * - C:\Program Files (x86)\PC Clean Plus C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\UCBrowser 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers01: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers03: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers04: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers05: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku ContextMenuHandlers06: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> Brak pliku Task: {04DEAE63-8AA5-4100-A3AF-F2FA657BD594} - System32\Tasks\Krabbit Thesaurus => Rundll32.exe "C:\Program Files\Krabbit Thesaurus\Krabbit Thesaurus.dll",eLtKpeTK Task: {B9FDE75B-EF44-4C28-B01E-955797DFF4B8} - System32\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511 => Rundll32.exe "C:\Program Files (x86)\MediaSerchU\yRb5lra.dll",#1 C:\Program Files\Krabbit Thesaurus C:\Program Files (x86)\MediaSerchU Task: C:\Windows\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511.job => C:\Program Files (x86)\MediaSerchU\yRb5lra.dll WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/ MSCONFIG\startupreg: uTorrent => "C:\Users\admin\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED HKLM\...\Run: [Login] => C:\Users\admin\AppData\Local\Temp\00017606\conhost.exe [1870848 2017-07-03] () HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_FS9T] => C:\Program Files\Microsoft Games\M0PGGHNYEMMQJ5L\8cGytjk7By.exe [222208 2017-07-03] () HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [msiql] => C:\Users\admin\AppData\Local\Temp\00017606\msiql.exe [2072576 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [TQ5SLmX_Z-.exe] => C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII\TQ5SLmX_Z-.exe [444416 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [OVmfG0jVDn.exe] => C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII\OVmfG0jVDn.exe 2 0 HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [zuSfQ4lSL.exe] => C:\ProgramData\9a07ad8ce41c49228bbf8a46c8fc4414\zuSfQ4lSL.exe [748032 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\RunOnce: [uninstall.exe] => C:\Users\admin\AppData\Local\Temp\{a767ed8f74244167b60647e75800afe3}\YQnSa7v0I1\uninstall.exe [748032 2017-07-03] () HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 C:\ProgramData\9a07ad8ce41c49228bbf8a46c8fc4414 C:\Program Files\Windows Portable Devices\HKMF5SR2N63QWPVWZDPV3NQ30ZEII C:\Program Files\Microsoft Games\M0PGGHNYEMMQJ5L GroupPolicy: Ograniczenia - Chrome FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser C:\Users\admin\AppData\Local\UCBrowser 2017-07-03 18:19 - 2017-07-02 01:40 - 02001920 ___SH (Micrasaft Carparation) C:\Windows\C_02iu47.dat 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\ProgramData\fa47f56a-6045-0 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\ProgramData\fa47f56a-1367-1 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\Program Files (x86)\pccleanplus 2017-07-03 18:20 - 2017-07-03 18:20 - 00000000 ____D C:\Program Files (x86)\PC Clean Plus 2017-07-03 18:18 - 2017-07-03 18:18 - 00000000 ____D C:\Users\admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Hosts: EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj easychrome oraz ​wszystkie nieznane i niepotrzebne Ci rozszerzenie (zalecam zmianę z AdBlock Plus na uBlock Origin, tak jak masz w Mozilli FireFox). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zastosuj się do zasad działu: KLIK.

Poproszę jeszcze o raport USBFix z opcji Research oraz Listing. Przy wykonywaniu raportów problematyczny pendrive musi być podpięty do portu USB, aczkolwiek nie rób na nim żadnych operacji, prócz generacji raportów.

Raport wygląda w porządku, wykluczam rootkita, którego miałem w głowie. To może być tak, że dostawca przydzielił Ci IP, które w bazie Google figuruję jako spamerskie. W takiej sytuacji postaraj się o przydział nowego adresu, czyli zrestartuj router lub skontaktuj się ze swoim dostawcą Internetu i poproś o zmiane IP. Ew. spróbuj wyczyścić bufor DNS przez CMD > Uruchom jako administrator > ipconfig /flushdns.

Skan trzeba powtórzyć w związku z operacją chkdsk, to nie jest tylko "przywracanie plików w poprzednie kategorię". Po za tym w przypadku infekcji wirusem Brontok skan należy powtarzać do wyniku zero infekcji. Co prawda, faktycznie, infekcja wygląda, że dała za wygraną (nie widać czynnych elementów infekcji), aczkolwiek widać jej posty w postaci blokad na narzędzia systemowe. To koryguję, ale oprócz tego sprzątam system ze wszelkich resztek, odpadek po oprogramowaniu. Czy jakiekolwiek urządzenie z pamięcią przenośną w trakcie infekcji systemu było do niego podłączane? 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [Autodesk Sync] => [X] HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\Explorer: [] IFEO\taskmgr.exe: [Debugger] "C:\PROGRAM FILES (X86)\PROCESS EXPLORER\PROCEXP.EXE" FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 Autodesk Content Service; "C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe" [X] ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers02: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} => -> Brak pliku ContextMenuHandlers04: [Fb2kShellExt] -> {511D48AF-9E45-4CB8-8F02-9C1BE4BC3CF8} => -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {5DE8BE6D-F4F9-4032-B7EB-45A81A6F68B8} - System32\Tasks\{586E6717-7527-4547-815A-B02FD1FB37C4} => G:\start.exe Task: {72D49455-898D-44CF-83FD-289346A9D84F} - System32\Tasks\{702A44AC-D882-488F-893B-EE03AD7B310D} => G:\start.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel® Driver Update Utility 2.0.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MTA San Andreas.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OutlineArt\OutlineArt on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service - Configuration Console.lnk EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Powtórz skan za pomocą Kaskerspkiego z poza systemu. Wyników Brontok pozbądź się przez Usunięcie / Kwaranntane. 4. Nowe raporty FRST zbędne, dostarcz tylko raport wynikowy (plik Fixlog).

W raportach brak oznak infekcji, aczkolwiek dostarcz jeszcze raport GMER (bo coś podejrzewam). Możesz wykonać jeszcze poniższe kroki poboczne, bez związku problemem. 1. Sugeruję deinstalacje poniższych dwóch programów ze względu na zintegrowane adware (w przypadku Ace Stream Media aktywowanym po pewnym czasie). µTorrent Ace Stream Media 3.1.11 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku ContextMenuHandlers01: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers03: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku\ ContextMenuHandlers04: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Dominik\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers05: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers05: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {19E84611-2A40-46C3-81A8-D24ED5ACE5EA} - System32\Tasks\AutoPico Daily Restart => C:\Users\Dominik\AppData\Local\Temp\ir_ext_temp_0\AutoPlay\Docs\AutoPico.exe FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku] EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nowe raporty FRST zbędne, dostarcz tylko Fixlog jeśli to wykonasz.

Poproszę o zestaw raportów FRST oraz GMER. Dodatkowo zastosuj się do zabezpieczeń Biuletynu bezpieczeństw Microsoft, bo z raportu routera wynika, że cześć ataku jest przeprowadzana z pomocą luki w menedżerze kolorów. Reszty nie zweryfikuje, bo nie mam, aż tak dużej wiedzy w zakresie ataków, co nie tyczy się infekcji systemów i to bardziej temat do działu Sieci.

W raportach brak oznak infekcji, ale jest kilka spraw, które trzeba zweryfikować oraz wykonać. 1. W związku z poniższymi z alarmami od FRST poproszę o raport z Farbar Service Scanner. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. 2. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Wykonaj sprawy poboczne: usuwanie resztek, polityk grup. CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe U1 aswbdisk; Brak ImagePath U3 idsvc; Brak ImagePath U3 kxldypoc; \??\C:\Users\Soob\AppData\Local\Temp\kxldypoc.sys [X] Task: {1DB74AAC-B8BC-4D06-9B21-84ACE8DABBE3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {318CB09D-0F17-4EE4-89B5-C7FFAA57E2C9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4A401B82-2EE6-4CD1-931F-5BD5A15351FF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {53E7B408-52E4-48C4-B043-C4C3C9DD457B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {68C1FF4F-9371-4B13-ADDE-7DCD2855AEA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7D8DDD36-F7C7-429B-A2DA-10E148FD3C62} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {81FB54CE-9D64-4D03-9699-E82F9F781190} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {E7570F51-C7BF-4FFA-B4E5-B6BE58ACDD2D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F3F5F1C6-22BD-45DB-8DCD-27DBD41C4329} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {F504B6D6-B661-46DB-9868-2AFBB54091F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {F90D5EB1-C338-411A-BDD4-69CC0C2384C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe raport FRST zbędne.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Sieci, gdzie zostanie postawiona dalsza diagnoza i ewentualna naprawa. W spoilerze umieszczam wątek poboczny: kasacja szczątek po oprogramowaniu marki Norton oraz pustych wpisów.

Takie komputery są narażone najbardziej, bo te infekcje wypracowały sobie większość infekcji poprzez pobieranie zarażonych załączników. Zabezpieczenia są dwa, czyli założyć na skrzynkę filtrację antyspamową oraz zainstalować porządne oprogramowanie zabezpieczające np. marki Kaspersky czy Bitdefender. Nie wspomnę już o aktualizacjach oprogramowania i systemu. Jako, że nie wiemy z czym mamy do czynienia (wariant identyfikuje sam) poproszę najpierw o wgranie zaszyfrowanego pliku / notatki o okupie do usługi ID Ransomware i podanie wyników. Jako, że jest to komputer jakby nie patrzeć ważny sprzedawca pewnie będzie wolał kompleksowo sformatować dysk, a to czy dane są do odzyskania to się dowiemy po akcji z ID Ransomware.

Sprawy poboczne wykonane pomyślnie. Jeśli chodzi o zestaw to, wg mnie BIS 2017 + UnCheky wystarczy.

Nieadekwatne dobranie narzędzia, ComboFix nie może być używany w takich sytuacjach (KLIK). TDSKiller jest do poważnych infekcji rootkit, a Rkill nie usunie infekcji tylko tymczasowo ją odładuje, aby móc wprowadzić dezynfekcje w przypadku blokad. Sam raport GMER to zdecydowanie za mało. FRST prawdopodobnie został uruchomiony z wersji 32 bitowej, a Twój system jest 64 bitowy - KLIK. P.S: Na koniec podam Ci instrukcję jak łatwo można wyizolować pendirva klienta, tak, aby uzyskać pliki, ale nie dopuścić go to systemu.

Rozumiem, że z Twojego punktu widzenia problem tytułowy został również rozwiązany? Kończymy. Zastouj DelFix oraz dodatkowo zaktualizuj Windows i oprogramowanie zewnętrzne.

Adware usunięte, system nie jest zainfekowany. W tej sytuacji proszę skontaktować się z bankiem i zapytać czego dokładnie dotyczy blokada (typ infekcji?) i zgłosić się na forum z wynikami. Pewnie odblokują Ci dostęp do konta.