-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
Windows XP, brak ikon paska, uruchomienie explorer.exe
Miszel03 odpowiedział(a) na 2hoo temat w Dział pomocy doraźnej
Ten komputer, jak Twój poprzedni został zainfekowany wirusem Brontok (powodującym właśnie w/w przez Ciebie problemy), więc przypuszczalnie była pomiędzy nimi wymiana plików. Przecież wyraźniej już nie mogłem Cie ostrzec. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. (Tj. adnotacja z poprzedniego Twojego tematu: KLIK) Systemu Windows XP i braku oprogramowania zabezpieczającego już nie skomentuj...bo nie mam siły. Aktualnie praktycznie każde oprogramowanie uchroniłoby Cię przed tą infekcją. Przed działaniami proszę spójrz jeszcze do spoileru. Od razu jedziemy z dezynfekcją systemu. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" SearchScopes: HKLM -> DefaultScope value is missing S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\CSM7100\Local Settings\Application Data\winlogon.exe CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia / kwarantanny, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut (użyj najnowszej wersji FRST z przyklejonego tematu). Dołącz też plik fixlog.txt. -
Zaszyfrowane pliki Ransomware Xorist
Miszel03 odpowiedział(a) na amstaff92 temat w Dział pomocy doraźnej
Wprawdzie ID Ransomware dał diagnozę "Xorist", ale nie jest powiedziane, że diagnoza była poprawna i, że dany wariant da się rozkodować. Na podstawie logów jakoś nie jestem w stanie rozpoznać co to za infekcja dodająca 4 znaki (prawdopodobnie "CFER" jest losowe). 2017-06-09 19:58 - 2017-06-09 20:18 - 1468010588 _____ C:\Users\Mateusz_2\Downloads\eduweb.pl Kurs Strony WWW z WordPress - Podstawy-DW-MTU.rar.CFER 2017-06-09 19:33 - 2017-06-09 19:53 - 2092451759 _____ C:\Users\Mateusz_2\Downloads\strefakursow.pl Kurs Tworzenie profesjonalnych stron z WordPress-DW-MTU.rar.CFER 2016-04-15 16:16 - 2016-02-09 03:31 - 0001010 _____ () C:\Users\Mateusz_2\AppData\Roaming\HOW TO DECRYPT FILES.txt Swój pierwszy post oparłem tylko o diagnozie z ID Ransomware i skrycie liczyłem, że narzędzie nie zawiodło. Proszę ponów analizę plików (może była aktualizacja poprawkowa), daj zarówno notatkę jak i zaszyfrowany plik do analizy. Dostarcz wyniki. Xorist to rodzina, istnieję wiele wariantów, niektóre da się rozszyfrować, a niektóre nie. Choć ID Ransomoware rozpoznał Xorista, to nie wiadomo jaki to konkretnie wariant. Jeśli te dwa dekodery zawiodły (to był sposób na sprawdzenie, która to grupa wirusa) to niestety, ale obstawiłbym te bardziej złośliwe warianty, gdzie rozkodowanie plików jest awykonalne. Zaszyfrowywane dane przenieś na jakiś dysk zewnętrzny (ewentualnie daj do chmury), same zaszyfrowane pliki nie są infekcyjne. -
Samoistne wyłączanie i włączanie się antywirusa/firewall'a.
Miszel03 odpowiedział(a) na Wojtek1990 temat w Software
Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Software, bo w Dzienniku Zdarzeń oprogramowanie Panda sypie błędami. Spróbuj kompleksowo przeinstalować to oprogramowanie korzystając z instrukcja producenta: KLIK i sprawdź efekty. Te poniższe modyfikacje polityk pomijam, bo widzę je często w przypadku instalacji oprogramowania Comodo / Panda i myślę, że to ich preferencje. GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia -
W raportach brak oznak infekcji. System jest czysty pod tym względem, a co do reklam w przeglądarkach to podejrzewam, że nie mają one żadnego podłoża infekcyjnego (witamy w dzisiejszym Internecie). FireFox: ======== FF DefaultProfile: oj19pwh6.default FF ProfilePath: C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\oj19pwh6.default [2017-06-13] FF Session Restore: Mozilla\Firefox\Profiles\oj19pwh6.default -> [funkcja włączona] FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_25_0_0_148.dll [2017-05-04] () FF Plugin: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2016-10-19] (Microsoft Corporation) FF Plugin: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) FF Plugin HKU\S-1-5-21-3423905981-63809410-1667830998-1000: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) Z raportów wynika również, że nie masz żadnego blokera reklam w przeglądarce Mozilla FireFox. Polecam zainstalować uBlock Origin. Temat przenoszę do działu Windows, gdzie pomogą Ci rozwiązać problem ze "znikającym" miejscem na dysku.
-
Zaszyfrowane pliki Ransomware Xorist
Miszel03 odpowiedział(a) na amstaff92 temat w Dział pomocy doraźnej
Jeśli jesteś gotowy na format i nie będzie to dla Ciebie utrapienie to zaleciłbym go. Na Twoje szczęście, jeśli to rzeczywiście Xorist to istnieją* skuteczne dekodery! * - Kaspersky XoristDecryptor oraz Emsisoft Decrypter for Xorist. Napisz na to się decydujesz. Leczymy system, czy Ty go kompleksowo reinstalujesz i deszyfrujesz pliki osobno? -
Hm...nie mogę nic takiego znaleźć w Ustawieniach, aczkolwiek pewnie jest tj. mówisz, sam w sumie to podejrzewałem.
-
Windows XP, brak ikon paska, uruchomienie explorer.exe
Miszel03 odpowiedział(a) na 2hoo temat w Dział pomocy doraźnej
Załączyłeś dwa razy raport Shortcut, więc nie mam pełnego zestawu raportów. Proszę dopilnować, aby były trzy pliki: FRST, Addition oraz Shortcut. Dołącz również raport z GMER. Dodatkowo poproszę, aby do generacji raportów użyć najnowszej wersji FRST - KLIK (normalnie taka "przedostatnia" mogłaby być, ale w najnowszej naprawiono problem z Harmonogramem zadań). -
Wirusy big_bang_empire i Big Farm. Bardzo proszę o pomoc
Miszel03 odpowiedział(a) na kalama23 temat w Dział pomocy doraźnej
W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. -
Kilka problemów (m.in. webunstop.net)
Miszel03 odpowiedział(a) na Agrax temat w Dział pomocy doraźnej
Zajmuję się tylko sprawami infekcyjnymi. Problemy z brakujacymi bibliotekami etc. załatwisz w dziale Windows 7, do którego po dezynfekcji ten temat przeniosę. Na w/w punktach skupię się ja. Przeglądarka Mozilla FireFox wygląda dziwnie, tzn. jest w niej dużo niedomyślnych modyfikacji. Nie podoba mi się również rozszerzenie w FF dot. przelewów - nigdy wcześniej go nie widział - ale spokojnie, zostanie usunięte w pkt. 2. Po za tym sprzątam resztki po programach i robię tzw. kosmetykę systemową. Piszesz na temat webunstop, a to znane mi szkodliwe proxy. Nie widzę ich co prawda jasno w raportach, ale i tak załączę wyczyszczenie tej sekcji. 1. Jeśli crack KMS-R nie jest instalacją celową to pozbądź się go, jeśli nie będziesz potrafił to zawiadom mnie o tym w następnym poście. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Policies\Explorer: [NoWindowsUpdate] 1 IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CMD: type "C:\Program Files (x86)\mozilla firefox\1098902.cfg" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1098902.js [2017-06-10] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1098902.cfg [2017-06-10] <==== UWAGA U3 aswbdisk; Brak ImagePath S3 dbx; system32\DRIVERS\dbx.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Task: {6B0F5998-B184-4864-996D-743066D343E4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Patryk\AppData\Local\Temp\RarSFX0\AutoPico.exe <==== UWAGA Task: {7CA7EF89-12EB-4EDD-94C7-6FF63C9E5630} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {C016366B-7126-46CA-B36B-592A3D95A60B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Windows\System32\Tasks\AVAST Software MSCONFIG\startupreg: CyberGhost => "C:\Program Files\CyberGhost 5\CyberGhost.EXE" /autostart RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt. -
Na przeglądarce Google Chrome przekierowywanie do domeny bezpiecznej już jest, to proceder od Google czy już to zostało zrobione po naszej stronie?
-
Wirusy big_bang_empire i Big Farm. Bardzo proszę o pomoc
Miszel03 odpowiedział(a) na kalama23 temat w Dział pomocy doraźnej
Na Twoim miejscu zostałbym na pokładzie z darmową wersją Avast. Ewentualnie do tego możesz dołożyć jakiś skaner na żądanie np. MBAM / KVRT / HitmanPro. 1. Zagrożenia wykryte przez Malwarebytes daj do usunięcia. 2. Skasuj poniższe skróty ręcznie: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk 3. Podsumuj obecny stan systemu. -
Avast Passwords - jak zresetować hasło?
Miszel03 odpowiedział(a) na onepiotr temat w Aplikacje zabezpieczające
Reset hasła jest awykonalny (Avast nie przechowuje danych z sejfu haseł na serwerach) - KLIK. -
Komp zamula - strasznie zamula Mozilla
Miszel03 odpowiedział(a) na tokaj temat w Dział pomocy doraźnej
Raporty nie wykazują infekcji, problematyczną przeglądarkę spróbuj przeinstalować. W spoilerze zdaję działania poboczne, bez związku z problemem. Temat przenoszę do działu Windows 7. -
wirus BRONTOK.A[10] Windows XP proszę o pomoc w rozwiązaniu problemu
Miszel03 odpowiedział(a) na 2hoo temat w Dział pomocy doraźnej
Tak, już jest wszystko w porządku, a na temat ComboFix poczytaj: KLIK. Kroki końcowe: zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. -
wirus BRONTOK.A[10] Windows XP proszę o pomoc w rozwiązaniu problemu
Miszel03 odpowiedział(a) na 2hoo temat w Dział pomocy doraźnej
Wszystko pomyślnie wykonane. Infekcja zdjęta. Z tego co widzę nie włączyłeś po czyszczeniu Przywracania systemu - włącz je, lecz niczego nie przywracaj. Teraz gruntowanie przeskanujemy każdy plik w systemie, ponieważ Brontok je infekuje i w przypadku uruchomienia mogłoby dojść do reinfekcji. 1. Powtórz skan MBAM, dla wyników infekcji Brontok zastosuj opcję kwarantanny lub usunięcia. 2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Dla wyników Brontok również zastosuj opcję kwarantanny lub usunięcia. 3. Dostarcz raport z w/w narzędzi. -
Problemy z wirusem, brak możliwości usunięcia folderów i nowa wyszukiwarka
Miszel03 odpowiedział(a) na Shoudo temat w Dział pomocy doraźnej
Brak raport Shortcut i FRST generowanego przez FRST (dałeś tylko Addition), po za tym raporty masz załączyć je jako załączniki lub wkleić na wklej.org Post kasuję, dołącz wszystko na raz, by nie było zamieszania. -
Problemy z wirusem, brak możliwości usunięcia folderów i nowa wyszukiwarka
Miszel03 odpowiedział(a) na Shoudo temat w Dział pomocy doraźnej
Temat założony niezgodnie z regulaminem działu. Musisz dostarczyć raporty systemowe FRST oraz GMER, dzięki, którym będę w stanie zdiagnozować system i podać konkretne instrukcję naprawcze. -
wirus BRONTOK.A[10] Windows XP proszę o pomoc w rozwiązaniu problemu
Miszel03 odpowiedział(a) na 2hoo temat w Dział pomocy doraźnej
Pomóc - pomogę, ale nie widzę w tym większego sensu. Windows XP to system operacyjny pozbawiony wsparcia, wystawia się infekcja jak na dłoni, a już zwłaszcza kiedy nie posiadasz oprogramowanie zabezpieczającego - KLIK. System jest mocno zainfekowany robakiem Brontok i leczenie może być oporne, bo malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. Od razu przechodzimy do działań. 1. Wyczyść wszystkie punkty przywracania systemu - KLIK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\ DisallowedCertificates: 08738A96A4853A52ACEF23F782E8E1FEA7BCED02 (U) HKLM\ DisallowedCertificates: 09271DD621EBD3910C2EA1D059F99B8181405A17 (U) HKLM\ DisallowedCertificates: 09FF2CC86CEEFA8A8BB3F2E3E84D6DA3FABBF63E (U) HKLM\ DisallowedCertificates: 23EF3384E21F70F034C467D4CBA6EB61429F174E (U) HKLM\ DisallowedCertificates: 330D8D3FD325A0E5FDDDA27013A2E75E7130165F (U) HKLM\ DisallowedCertificates: 374D5B925B0BD83494E656EB8087127275DB83CE (U) HKLM\ DisallowedCertificates: 3A26012171855D4020C973BEC3F4F9DA45BD2B83 (U) HKLM\ DisallowedCertificates: 4D8547B7F864132A7F62D9B75B068521F10B68E3 (U) HKLM\ DisallowedCertificates: 4DF13947493CFF69CDE554881C5F114E97C3D03B (U) HKLM\ DisallowedCertificates: 4ED8AA06D1BC72CA64C47B1DFE05ACC8D51FC76F (U) HKLM\ DisallowedCertificates: 587B59FB52D8A683CBE1CA00E6393D7BB923BC92 (U) HKLM\ DisallowedCertificates: 5CE339465F41A1E423149F65544095404DE6EBE2 (U) HKLM\ DisallowedCertificates: 5D5185DF1EB7DC76015422EC8138A5724BEE2886 (U) HKLM\ DisallowedCertificates: 6690C02B922CBD3FF0D0A5994DBD336592887E3F (U) HKLM\ DisallowedCertificates: 7613BF0BA261006CAC3ED2DDBEF343425357F18B (U) HKLM\ DisallowedCertificates: 838FFD509DE868F481C29819992E38A4F7082873 (U) HKLM\ DisallowedCertificates: 8977E8569D2A633AF01D0394851681CE122683A6 (U) HKLM\ DisallowedCertificates: A1505D9843C826DD67ED4EA5209804BDBB0DF502 (U) HKLM\ DisallowedCertificates: A221D360309B5C3C4097C44CC779ACC5A9845B66 (U) HKLM\ DisallowedCertificates: A35A8C727E88BCCA40A3F9679CE8CA00C26789FD (U) HKLM\ DisallowedCertificates: A7B5531DDC87129E2C3BB14767953D6745FB14A6 (U) HKLM\ DisallowedCertificates: A81706D31E6F5C791CD9D3B1B9C63464954BA4F5 (U) HKLM\ DisallowedCertificates: BED412B1334D7DFCEBA3015E5F9F905D571C45CF (U) HKLM\ DisallowedCertificates: C69F28C825139E65A646C434ACA5A1D200295DB1 (U) HKLM\ DisallowedCertificates: D0BB3E3DFBFB86C0EEE2A047E328609E6E1F185E (U) HKLM\ DisallowedCertificates: D43153C8C25F0041287987250F1E3CABAC8C2177 (U) HKLM\ DisallowedCertificates: D8CE8D07F9F19D2569C2FB854401BC99C1EB7C3B (U) HKLM\ DisallowedCertificates: E38A2B7663B86796436D8DF5898D9FAA6835B238 (U) HKLM\ DisallowedCertificates: E95DD86F32C771F0341743EBD75EC33C74A3DED9 (U) HKLM\ DisallowedCertificates: E9809E023B4512AA4D4D53F40569C313C1D0294D (U) HKLM\ DisallowedCertificates: F5A874F3987EB0A9961A564B669A9050F770308A (U) HKLM\ DisallowedCertificates: F92BE5266CC05DB2DC0DC3F2DC74E02DEFD949CB (U) HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () GroupPolicy: Restriction ? C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\inetinfo.exe 2016-09-03 06:39 - 2016-09-03 06:39 - 0000051 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\Kosong.Bron.Tok.txt 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\essemtec\Local Settings\Application Data\winlogon.exe Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\essemtec\Templates\Brengkolang.com C:\WINDOWS\Tasks\At1.job C:\Documents and Settings\All Users\Start Menu\Programs\Point Grey Research\PGR FlyCapture\Documentation\Camera\Grasshopper Technical Reference.pdf.lnk C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. -
Adwcleaner - Oczyszczono preferencje Firefoksa
Miszel03 odpowiedział(a) na Tadzio temat w Dział pomocy doraźnej
OK. Zamykam. -
Zamykam.
-
Przy generacji raportów zalecamy wyłączenie wszelkich programów zabezpieczających i jest to napisane w zasadach działu. Jeśli zaś chodzi o raporty to brak oznak infekcji. Drobną kosmetykę pomijam.
-
Adwcleaner - Oczyszczono preferencje Firefoksa
Miszel03 odpowiedział(a) na Tadzio temat w Dział pomocy doraźnej
Problem tytułowy mamy z głowy, ale nie dostarczyłeś raportów FRST oraz GMER. Rozumiem, że nie chcesz, abym sprawdził cały system na obecność infekcji? -
Przejęte konto Steam, wirus, Key Logger?
Miszel03 odpowiedział(a) na Adrian92 temat w Dział pomocy doraźnej
Mimo wszystko spróbuj poszukać i wytępić sprzedawce, czyli potencjalnego włamywacza. Nie wszystkim udaje się odzyskać konto po ataku. Sposoby są różne, losowe włamy lub sprecyzowane strony phishing, czasem sami nie wiemy gdzie mogło dojść do wyłudzenia danych. Zamykam. -
Wyskakujące reklamy, Malware i Rootkity
Miszel03 odpowiedział(a) na tom615 temat w Dział pomocy doraźnej
Nie widzę jawnych, aktywnych infekcji adware. Widoczne są tylko szczątki po adware ProxyGate oraz wątpliwe instalacje reklamotwórcze. Co do tego pierwszego to poszerzam diagnostykę. Detekcję wykryte przez programy, z których dostarczyłeś raport usuwam za pomocą FRST. Pomijam tylko komponent oprogramowania IOBit. 1. Sugerowane deinstalacje. - Flagowany przez narzędzie FRST: LEGO Batman 3 Beyond Gotham version 1.0 (to może być również fałszywy alarm, zostawiam do oceny indywidualnej). - Reklamotwórczy klient uTorrent, którego sugeruję wymienić go na czystego klienta na qBitTorrent. - Wszystkie produkty marki IObit ze względu na liczne kontrowersje z nimi związane (kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach).. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 MBAMFarflt; \??\C:\WINDOWS\system32\drivers\farflt.sys [X] U3 pwryipog; \??\C:\Users\tom615\AppData\Local\Temp\pwryipog.sys [X] Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_tom615.job => C:\Users\tom615\Documents\American Truck Simulator\readme.rtf.lnk C:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RTKMZDX.ZIP C:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RF8IBDE.0_PLUS_10_TRAINER\PREY V1.0 PLUS 10 TRAINER.EXE C:\Program Files (x86)\ProxyGate DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\ccjleegmemocfpghkhpjmiccjcacackp DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\tom615\AppData\Local\Mozilla C:\Users\tom615\AppData\Roaming\Mozilla C:\Users\tom615\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Proponuję wymienić bloker AdBlock na bloker uBlock Origin. Ten drugi jest znacznie lżejszy i skuteczniejszy. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). proxygate Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. Powtórz to działania również dla opcji Szukaj w Plikach (Search Files), raport też dostarcz (SearchFiles.txt). 5. Dostarcz plik Fixlog oraz sam log FRST, bez reszty. -
Przejęte konto Steam, wirus, Key Logger?
Miszel03 odpowiedział(a) na Adrian92 temat w Dział pomocy doraźnej
Więcej informacji o tym adresie: KLIK. Tak, atak był pewnie wykonany za pośrednictwem VPN, więc możliwość wykrycia jest minimalna. Teraz pozostało Ci wejść na serwisy typu allegro, olx i poszukać czy Twoje konto nie jest sprzedawane w ofercie za "złotówkę". To często widziany sposób przestępców. Jeśli takowe zauważysz najszybciej jak to możliwe zgłoś sprzedawce administracji.