Miszel03

dstjr: Słowem komentarza: Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym). Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające. TDSSKiller to narzędzie do wykrywania i neutralizacji rootkit / bootkit. Tu nie mamy z nimi do czynienia, więc narzędzie zbędne. Przeskanować oczywiście można. W raportach brak oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Muszę pomyśleć jakie informację będą mi potrzebne do diagnostyki. Jessica: Poniższe wpisy to fałszywe alarmy detekcji robionej pod kątem Rootkit SmartService. Pojawią się gdy zachodzi dysonans między rejestrem a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy, np. jeśli odinstalowano antywirusa, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit". HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 "A4688A50C" => serwis nie został odblokowany. U5 A4688A50C; C:\Windows\System32\Drivers\A4688A50C.sys [138256 2018-07-15] () C:\Windows\system32\drivers\A4688A50C.sys -> Odmowa dostępu

To wygląda na uszkodzenie raczej mechaniczne, proszę poczekaj na moderatora działu Hardware - Groszexxx.

Proszę poprawić temat: - opisać porządnie problem, przedstawić najlepiej zrzut ekranu podczas występujących zakłóceń, - zapoznać się z przyklejoną instrukcją: jakie informacje podawać, - dostosować treść do zasad ortografii i interpunkcji.

Raporty nie wykazują oznak infekcji, działania kosmetyczne pomijam (bez związku z problemem). 1. Powiedz mi jak wygląda sytuacji, gdy zostanie wykonany tzw. czysty rozruch. 2. Sprawdź jak ma się sytuacji przy wyłączonym Kaspersky Internet Security podczas normalnego startu.

Komunikat znikł, co potwierdza to co napisałem wcześniej. Czy potrzeba, abym wyjaśnił coś jeszcze?

Detekcja "Rootkit" (robiona pod kątem infekcji SmartService, której u Ciebie nie ma) pojawia się jeśli jest dysonans między rejestrem, a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy. W raportach widać resztki po oprogramowaniu Dr. Web, więc być może odinstalowano antywirusa / skaner, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit". Pokaż log FRST po restarcie.

Jedyne co mi przychodzi na myśl, a jest zarazem prostym rozwiązaniem to izolacja przeglądarki od obszaru pamięci systemu (np. Sandboxie). To wymaga odpowiedniej konfiguracji. Zapora systemu Windows posiada możliwość blokady określonych programów.

Rozumiem. DelFix skasuje FRST.

Nieaktualny Windows = tykająca bomba. Sugeruję po omacku dojść do tego, która aktualizacja powodowała ten problem.

Odtwarzanie sesji (sekcja Konfigurowanie mechanizmu odtwarzania sesji, zamiast "wyświetl okna i karty z poprzedniej sesji" ustaw "Pokaż Twoją stronę domową". Tak, Mozilla FireFox domyślnie blokuję niebezpieczne strony internetowe, a także niebezpieczne pobierania. To rozwiązanie stosuję już od dawna większość przeglądarek. Oprogramowanie zabezpieczające pozbawione ochrony w czasie rzeczywistym są zazwyczaj nieskuteczne. Lepiej zapobiegać niż leczyć. Jeśli istnieje potrzeba wyłączenia tych funkcji (co powtarzam jest bardzo niezalecane): przejdź do Opcji > zakładka Prywatność & Bezpieczeństwo > sekcja Bezpieczeństwo > odptaszkuj niechciane ustawienie. Nie mam zbyt wiele czasu, by pomagać, ale to chwilowy stan (przeprowadzam się). Z tamtego komputera możesz dostarczyć nowy zestaw raportów, a postaram się jak najszybciej je przeanalizować.

Brak konkretów, wpisy w Dzienniku Zdarzeń naprowadzają mnie na taką diagnostykę: 1. Proszę powiedz mi jak się ma problem, kiedy wykonasz tzw. czysty rozruch. 2. Nie zależnie od tego jaki rezultat przyniesie pkt. 1: Uruchom ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum. 3. Na wszelki wypadek: wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log (nie sądzę, że to problem Hardware, ale zdarzały się przypadki podobnych symptomów).

Raporty FRST należy przedstawić w poście jako załącznik lub wkleić ich zawartość na pastebin.com.

Wyczyściłem skrzynkę. Proszę spróbować napisać teraz.

Skrypt nie wykonał się poprawnie. Wykonaj skrypt ponownie, wyciąłem problematyczną linijkę i przetworzoną część: CloseProcesses: HKLM\...\.scr: => HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {3153fdce-0732-11e8-b001-6014b3b092ea} - "H:\Install.exe" HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {fff2b269-05d7-11e8-afff-6014b3b092ea} - "E:\setup.exe" HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\User\AppData\Roaming\Microsoft\SoundMixer GroupPolicy: Ograniczenia ? DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Po tym kroki podaj nowy zestaw raportów FRST (może być bez Shortcut).

W systemie działa infekcja, która jest winowajcą zgłaszanego problemu. Dezynfekcja (w tym również kosmetyka systemowa: zostanie wyczyszczony kosz, usunięte martwe wpisy / skróty / przestarzałe blokady adware w pliku Hosts i mapie domen w przeglądarce Internet Explorer) 1. Przez Panel Sterownia odinstaluj: zbędniki: Akamai NetSession Interface. przestarzałe oprogramowanie zabezpieczające: Spybot - Search & Destroy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype dla firm.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Database Compare.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Office Upload Center.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Spreadsheet Compare.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\##ID_STRING16##\##ID_STRING17##.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz dla programu Autodesk Inventor 2015.lnk ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers6_S-1-5-21-4155290210-3035117307-2680524550-1001: [inventorMenu] -> {6FDE7A70-351B-11d6-988B-0010B57A8BB7} => -> Brak pliku HKLM\...\.scr: => HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {3153fdce-0732-11e8-b001-6014b3b092ea} - "H:\Install.exe" HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {fff2b269-05d7-11e8-afff-6014b3b092ea} - "E:\setup.exe" HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\User\AppData\Roaming\Microsoft\SoundMixer GroupPolicy: Ograniczenia ? DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlo

Tryb awaryjny FF powoduje tymczasowe wyłączenie rozszerzeń i motywów, wyłączenie przyspieszenia sprzętowego oraz zresetowanie paska narzędzi i dostosowywanie przycisków. Po opuszczeniu trybu awaryjnego i normalnym uruchomieniu Firefoksa, rozszerzenia, motywy i ustawienia powrócą do stanu, w którym znajdowały się przed wprowadzeniem trybu awaryjnego. Przypuszczalnie sprawdziła się tutaj metoda oparta na zasadzie "czy próbował Pan już uruchomić ponownie urządzenie?". Przyczyny szukać na próżno.

Cieszę się, że mogłem pomóc! Używane narzędzia możesz usunąć. Oba problemy raczej bez związku. O ile jest to możliwe to ustaw te same rozdzielczości i poobserwuj. Napisz jakie widzisz efekty.

Wszystko pomyślnie wykonane. 1. Komentując wyniki HitmanPro: FRST to fałszywy alarm generowany przez wiele programów zabezpieczających, F:\RAGE\Rage.exe zdaję się, że to jakiś crack z modułem adware. Pod ocenę indywidualną postawiam co chcesz z nim zrobić. 2. Poprawki (sprzątanie resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox): Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint: HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: I - I:\setup.exe CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\a\AppData\Local\Mozilla C:\Users\a\AppData\Roaming\Mozilla C:\Users\a\AppData\Roaming\Profiles Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. W raportach wciąż widoczne są aktywne sterowniki BitDefender (brak instalacji), pomimo próby ich usunięcia. Zastosuj więc BitDefender Uninstall Tool. 4. Zainstalowane są dwa programy zabezpieczające z funkcją ochrony proaktywnej: Avast! i ESET. Sugeruję pozostać przy jednym, gdyż dwa współpracujące antywirusy mogą powodować ogromne błędy. 5. Pobieranie pirackich wersji to tykająca bomba: 2018-06-15 20:01 - 2018-06-15 20:01 - 002948240 _____ (BitTorrent Inc.) C:\Users\a\Downloads\ESET Smart Security 11 Crack

W systemie działa czynna infekcja uruchamiana poprzez Harmonogram Zadań. Przeprowadzimy dezynfekcje oraz wdrążymy kosmetykę systemu. Akcja (zostanie wyczyszczony również systemowy kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk C:\Users\a\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word306483121018682127\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\COMODO Secure Shopping\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mass Effect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku Task: {3B1EE09C-6D26-49E3-8F6B-28E6903CE00C} - System32\Tasks\{227DFC92-A3CD-2411-7FBF-E51C9F2B7ED9} => C:\Program Files (x86)\uFUhcOAanowy.exe [2009-07-14] (Microsoft Corporation) Task: {0AA5C882-A17E-4AC0-8B29-5BF6CC6BA81F} - System32\Tasks\{A64AE613-09B9-5DEF-E2A4-56F94B0A4B4E} => C:\Program Files (x86)\Common Files\PBnIBMayd.exe [2009-07-14] (Microsoft Corporation) Task: C:\Windows\Tasks\55901f96232l67136z1.job => rundll32.exe C:\ProgramData\55901f96232l67136z1\55901f96232l67136z1.dll C:\Program Files (x86)\uFUhcOAanowy.exe C:\Program Files (x86)\Common Files\IAypUyToA.exe C:\Program Files (x86)\Common Files\PBnIBMayd.exe C:\ProgramData\55901f96232l67136z1 Task: {189A2A26-397F-4C37-B4BD-D421B56072D4} - System32\Tasks\{87726268-85CA-45EE-B3C1-6E5970A2302D} => C:\Windows\system32\pcalua.exe -a "C:\Users\a\Desktop\win64_15.33.46.4885 (1).exe" -d C:\Users\a\Desktop Task: {EF379385-7685-40C2-9E44-5F3F03635F7E} - System32\Tasks\{74739F5C-2BB6-4A19-90C7-8E9E2A67D118} => C:\Windows\system32\pcalua.exe -a "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81\Setup.exe" -d "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81" Task: {57067589-E5E9-4325-8C8F-647D62454264} - System32\Tasks\Norton Security Scan for a => C:\PROGRA~2\NORTON~2\Engine\461~1.80\Nss.exe Task: {966A5732-4375-436E-8491-077EB7CA0D2E} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe Task: {01740843-3FAD-495A-A6E1-1E9969447792} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisABB9.exe Task: {2B3E8E73-D451-4078-B57E-353E09061397} - System32\Tasks\SystemMaintanceService => C:\Users\a\AppData\Roaming\Outlast.2.With.Update.2.Repack\fbniu.exe Task: {6A3E59DE-4CD1-42C1-88B8-06BDD77F76FB} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\\MpCmdRun.exe Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: {ccbf38c7-3faf-11e7-a639-d43d7e519627} - I:\HiSuiteDownLoader.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia ? S2 updatesrv; "C:\Program Files\Bitdefender Antivirus Free\updatesrv.exe" /service [X] S2 vsserv; "C:\Program Files\Bitdefender Antivirus Free\vsserv.exe" /service [X] S2 vsservppl; "C:\Program Files\Bitdefender Antivirus Free\vsservppl.exe" /service [X] U1 aswbdisk; Brak ImagePath S3 b06bdrv; \SystemRoot\system32\drivers\bxvbda.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] U3 iswSvc; Brak ImagePath S3 MBfilt; system32\drivers\MBfilt64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przeskanuj system za pomocą HitmanPro. Nie stosuj żadnej akcji dla wykrytych zagrożeń, dostarcz jedynie raport, który zaprezentuje mi wyniki. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlo

Instalacja Avasta wygląda praktycznie na całkowitą - należy pozbyć się jej wszystkich elementów pierwszorzędnie, aby zainstalować inny produkt zabezpieczający. 1. Pobierz Avast Uninstall Utility, następnie przejdź do Trybu awaryjnego (kliknij klawisz F8 przed startem systemu) i uruchom wcześniej pobrane narzędzie. Kreator usunie wszystkie pozostałości po instalacji. 2. Dostarcz nowy zestaw raportów FRST w celu oceny i doczyszczeń adware.

Być może był to szczątkowy wpis. Proszę przejść do następnego punktu.

Przepraszam, ale nie zauważyłem, że edytowałeś post i dodałeś obowiązkowe raporty. W systemie wciąż obecne są instalacje adware, po za tym widać szczątkowe zadania w Harmonogramie zadań i resztki po przeglądarce Mozilla FireFox, które będę sprzątał. Przeprowadź następujące operacje (zostanie wyczyszczony systemowy kosz): 1. Przez Panel Sterowania odinstaluj adware / PUP: CloudNet. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\Users\Damian\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Damian\Desktop\State of Decay 2 — skrót.lnk Task: {21F460F1-6DAB-4BA2-B5CF-F5EA937D08A2} - \Opera scheduled Autoupdate 4086469641 -> Brak pliku Task: {2FE8985A-5F86-4008-AAF6-9A738A5864FD} - \csrss -> Brak pliku Task: {DC0E34A9-DEEF-4542-9A43-81104D0D4EB0} - \OneDrive\OneDriveUpdate -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Damian\AppData\Local\Mozilla C:\Users\Damian\AppData\Roaming\Mozilla C:\Users\Damian\AppData\Roaming\Profiles CMD: dir /a C:\Users\Damian\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Jednak nalegałbym, aby przedstawić raporty FRST, w celu sprawdzenia czy system nie został zainfekowany.

Nie istnieje takie oprogramowanie pod tą platformę systemu, a nawet jeśli istniałoby to jego używanie mija się z celem.

Tak, teraz jest OK, więc posty związane z przygotowaniem raportów kasuje, by nie wydłużać tematu. Wygląda na to, że brak już aktywnej infekcji, ale pozostały jej skutki. 1. Adware zainfekowało plik resources.pak w przeglądarce Google Chrome - to niestety nieodwracalna zmiana i należy kompleksowo przeinstalować przeglądarkę: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 2. Przeglądarka Mozilla FireFox w cale nie jest w lepszym stanie: profil brnvpaq2.default (domyślny) został opanowany przez infekcję Quoteexs. Wymagane następujące kroki: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Dostarcz nowy zestaw raportów FRST w celu ewentualnego doczyszczenia resztek po infekcjach / zrobienia kosmetyki systemowej.