Miszel03

Dostarcz jeszcze raport GMER.

Zaraz...zaraz Proszę o moje raporty. Czy podjąłeś akcje dezynfekcji? Czy na pendirve nie ma już skrótów?

Wszystko pomyślnie wykonane. Infekcja usunięta. Kaspersky nic nie wykrył. Teraz zrób raport z narzędzia USBFix z opcji Listing oraz Research (zarażony pendrive musi być podpięty, ale nic w nim nie majstrujesz).

Plik FXSAPIDebugLogFile zapisuje błędy, które powstają w wyniku używaniu Windows-Fax-Scan i zazwyczaj jest pusty. Jeśli nie używasz Windows-Fax-Scan, to możesz go wyłączyć poprzez panel sterowania, a następnie skasować plik ręcznie. Nie będę się powtarzał co do sytuacji znów. Na szybko: infekcja jest i wymagana jest dezynfekcja. Dodatkowo: są wpisy, które widziałem kiedyś w trakcie infekcji Trojanem bankowym. Powstrzymaj się od bankowości oraz zakupów online z tego komputera. Nie loguj się do tego typu serwisów. Wyłączam również tryb testu - coś go włączyło, a on wcale nie jest domyślny. Gdyby to jednak spowodowało problemy to wykonaj akcję w spoilerze (np. z poziomu trybu awaryjnego). Jeśli wyłączenie go nie spowoduje problemów to pomiń spoiler. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2582579150-227374903-3828852637-1000\...\Run: [AdobeBridge] => [X] Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2017-03-22] ShortcutTarget: u.lnk -> C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk C:\Users\User\AppData\Roaming\ii6O0Iuomk.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 gdrv; \??\C:\Windows\gdrv.sys [X] Task: {82D50208-CF98-4EE9-95E1-03C429FFE84D} - System32\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4} => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe Task: {E40D7CC3-A3FA-46F1-9CF8-C0B7BC26D377} - System32\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7} => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe Task: C:\Windows\Tasks\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}.job => C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe Ȣ/exenoupdates /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{36E19D34-6BA7-4BD1-B5CB-7B0DA85713C4}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp OLDPRODUCTS={BE922177-49DB-4821-BF79-E0F47F5C61F7} AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-J6VIB.tmp Task: C:\Windows\Tasks\{BE922177-49DB-4821-BF79-E0F47F5C61F7}.job => C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe Ȏ/exenoupdates /exelang 1045 /noprereqs /qr AI_RESUME=1 ADDLOCAL=MainFeature,XRDdrivers64 ACTION=INSTALL EXECUTEACTION=INSTALL ROOTDRIVE D:\ TRANSFORMS=:1045 AI_PREREQFILES=C:\Users\User\AppData\Local\Temp\{BE922177-49DB-4821-BF79-E0F47F5C61F7}\drivers64.msi AI_PREREQDIRS=C:\Users\User\AppData\Local\Temp AI_SETUPEXEPATH=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp\XRD Manager.exe SETUPEXEDIR=C:\Users\User\AppData\Local\Temp\is-LR2FG.tmp testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\Users\User\Desktop\_APARAT.lnk CMD: dir /a "C:\Users\User\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zastosuj AdwCleaner z opcji najpierw Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 3. Całościowo przeskanuj system za pomocą oprogramowania Kaspersky zainstalowanym na Twoim systemie. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To najgorsze co mogłeś zrobić - KLIK. Jeśli chodzi zaś o sam temat to infekcja mi znana, usunięcie jej powinno przebiec bezproblemowo. Widzę ją w raportach i wydaję się być tj. mówię łatwa do eliminacji. Nie przejdę jednak do instrukcji usuwających jeśli nie dostarczysz dwóch pozostałych i wymaganych raportów FRST, czyli Addition i Shortcut - KLIK. Pendriva zostawiamy na koniec. Obowiązkowa izolacja dla niego. Wszystkie komputery, do których pendirve został podłączony są do sprawdzenie. Do nich też niczego nie podłączaj. Pomijając fakt, że narzędzie TDSSKiller zastosowano nieadekwatnie do problemu to wątek pomocy technicznej możesz zamknąć. Tutaj zajmiemy się dezynfekcją i skończymy ją pewnie za kilka godzin, o ile masz dziś czas na to.

Dostarcz wymagane raporty systemowe FRST oraz GMER. Dodatkowo ze względu na akurat tą detekcję poproszę o raport z Farbar Service Scanner (FSS) (zaznaczasz wszystkie okna opcji) oraz TDSSKiller - ograniczasz się tylko do skanu i przedstawienia wyników, niczego nie kasujesz. Jeśli coś zostanie wykryte zastosuj opcję Skip (Pomiń).

Przekaż ten artykuł znajomemu. P.S: Wyjątkowy zdolny chyba ten znajomy prawda? Prosiłem tylko o skanowanie, a nie o skanowanie i usunięcie. Wyniki musza być kwalifikowane. W tym przypadku nadawały się one do kasacji, więc pół biedy. Komentując zaś raporty to teraz już wyglądają w porządku, a mając na uwadze to, że problem z Twojej strony ustąpił to myślę, że możemy kończyć. Zastosuj DelFix (usuwanie używanych narzędzi) oraz zaktualizuj ważne programy - KLIK. Sprawdź również czy masz aktualny system oraz wyczyść punkty przywracania systemu: KLIK / KLIK.

Cześć obiektów została wykryta już jako unieszkodliwiona, bo w kwarantannie FRST. Wszystkie zagrożenia skasuj. Podsumuj obecny stan systemu i pendriva.

System jest intensywnie zainfekowany, nie będę owijał w bawełnę - jest dramat. I to jest właśnie skutek nie posiadania zewnętrznego oprogramowania antywirusowego przez niedoświadczonego użytkownika na Windows 10. Od razu przechodzimy do działań, ale przedtem poczytaj: KLIK. 1. Włącz przywracanie systemu. 2. Przez panel sterowania odinstaluj: IzO1FHinrqLy Updater version 1.2.0.4 RunBooster VidsqaurE Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów. C:\Program Files\żěŃą C:\Program Files (x86)\IzO1FHinrqLy Updater C:\Program Files (x86)\UCBrowser 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001\...\Run: [msiql] => C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe [2072064 2017-03-20] () HKU\S-1-5-18\...\Run: [] => [X] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku RemoveDirectory: C:\Program Files\żěŃą SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-03-20] () [brak podpisu cyfrowego] S2 IzO1FHinrqLy Updater; C:\Program Files (x86)\IzO1FHinrqLy Updater\IzO1FHinrqLy Updater.exe [X] S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [X] S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.290.0\\McCSPServiceHost.exe" [X] RemoveDirectory: C:\Program Files (x86)\IzO1FHinrqLy Updater R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser S3 dbx; system32\DRIVERS\dbx.sys [X] S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe C:\ProgramData\service.exe Task: {4F3AC16B-7D0F-4166-ACDB-F97F96A10D8E} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe Task: {6967DF58-4D02-446B-9A6E-16A58EAF9EC0} - System32\Tasks\osTip => Chrome.exe Task: {9D99AF45-CF4F-47BC-B497-2915BA97DFC5} - System32\Tasks\PPI Update => C:\WINDOWS\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {AA7F380A-FB80-4BF5-94B2-549DC41573B3} - System32\Tasks\IzO1FHinrqLy => izo1fhinrqly.exe Task: {C02BF5A5-57A1-4657-B33B-A9C5546ACD40} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E49FB2D1-E3C3-44EC-B5D2-581C99439D11} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F26E6187-488F-4820-B70B-5FE38FFE9BCC} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F2CF466B-8DED-43FE-A4B3-11B4D6AE49CB} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-20] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Renata\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ FirewallRules: [{44AE9C5E-4AC8-40E2-9EE4-BC9F024717F3}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{CE9F2E19-AD6E-4F46-9F11-4DFC80F0F5E8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{B489D72E-CA36-4297-B6AF-0D31CFB44FBA}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Renata\AppData\Local\Mozilla C:\Users\Renata\AppData\Roaming\Mozilla C:\Users\Renata\AppData\Roaming\Profiles C:\Users\Renata\AppData\Roaming\Microsoft\Word\Dane%20członków%20założycieli305818943092029224\Dane%20członków%20założycieli.doc.lnk C:\Users\Renata\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Ochronny wpis szkodliwego programu po pkt. 2 powinien być ubity, dlatego odinstaluj: Traffic Exchange. 5. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic specjalnego to tu nie widać. Usuwam wszelkie szczątki i resztki po programach. Podaję kroki czyszczące przeglądarkę oraz skanowanie dedykowanym programem do takich infekcji. W skrótach LNK do przeglądarek zauważyłem jakąś wyszukiwarkę (launchpage.org) nigdy wcześniej jej nie widziałem i wygląda na infekcyjną - kasuję. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] U3 idsvc; Brak ImagePath U3 awworpoc; \??\C:\Users\Damian\AppData\Local\Temp\awworpoc.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Damian\Desktop\lewa\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PXG Client.lnk -> C:\Users\Damian\AppData\Roaming\pxgclient\pxgclient\client\launcher.exe () -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Default Apps.lnk -> C:\Windows\ImmersiveControlPanel\systemsettings.exe (Microsoft Corporation) -> page=SettingsPageAppsDefaults ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Devices.lnk -> C:\Windows\ImmersiveControlPanel\systemsettings.exe (Microsoft Corporation) -> page=SettingsPagePCSystemDevices ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk -> C:\Users\Damian\AppData\Local\Facebook\Games\FacebookGameroom.exe (Facebook) -> fbgames://windows_startup/ ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=qTxKBKjsgx1sXi94NiAPClNMb3q690ebUqnCbJHssxZjKEeyRMhspHf1XVWTpbZCHis%3D Task: {18B17FBC-4764-4B08-91BF-FFB4ECD4D661} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5042F508-BF7C-4EE9-AA5D-165F11BF5988} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {52637AE5-512F-44D3-9B93-CE7FB1100B23} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {533898CF-6DBE-4B0E-B284-7000064A1FF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {5441E236-4279-4CC9-B500-DA0AC9522CC2} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {54AC6516-B1BC-4CAA-A032-851C0203D5B6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {575583EF-0C25-4B05-9806-FAEF165B5D6E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {93D73D79-B6BB-41A5-A88B-B88CB4EB1388} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {AF032677-B833-47FF-A34D-DE3FCD2D93DA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {C8A53A0F-1D4A-4E14-8EBA-F35A264E82E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D07F5D7E-18FB-4E06-914E-A4978CFE6156} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D14C1939-7496-44C3-BCC0-5D9152ED3CD6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F3D1F045-3DCD-4CBB-A293-EFD2FBB3C512} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku C:\Users\Damian\Desktop\lewa\Launcher — skrót .lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\Dokument.LNK C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\s.LNK C:\Users\Damian\AppData\Roaming\Microsoft\Office\Niedawny\Słownik Symboli - WŁADYSŁAW KOPALIŃSKI.LNK DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Damian\AppData\Local\Mozilla C:\Users\Damian\AppData\Roaming\Mozilla C:\Users\Damian\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Opera. CTRL + SHIFT + E > Skasuj wszystkie nieznane Ci i niepotrzebne rozszerzenia. ALT + P > Przeglądarka > Wyszukiwanie > Zarządzaj wyszukiwarkami > Skasuj wszystkie nieznane Ci i niepotrzebne wyszukiwarki. CTRL + SHIFT + DELETE > Wyszyć dane przeglądania zasobów internetowych od samego początku. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To stosunkowo mało zagrożeń. Większość to szczątki, zresztą AdwCleaner każdy wpis liczy osobno - stąd czasem kolosalne liczby. Nie napisałaś nic o SpyHunterCleaner - zastosowałaś go? 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Zrób nowy zestaw raportów FRST, a oprócz tego wstępnie podsumuj stan systemu.

Przeczytaj EDIT (bo niestety, ale wcześniej się nie dodał)....

OK.

Dostarcz raporty z tych działań, o ile to jeszcze możliwe. Raporty z OTL kasuję, to stare (co za tym w tym przypadku idzie - niebezpieczne), nierozwijane już narzędzie. Dostosuj się do zasad działu i dostarcz raporty FRST oraz GMER.

Nie za wiele tutaj widać, FRST to narzędzi do usuwania złośliwego oprogramowania przez osoby wykwalifikowane w tym zakresie, a nie do kasacji szczątek po programach. Temat przenoszę do działu Software, skąd otrzymasz dalszą pomoc związana z problemem tytułowym. W spoilerze zadanie poboczne do wykonania.

OK.

Brakuje trzeciego obowiązkowego raportu Shortcut generowanego przez FRST - dołącz go. Bez niego nie podam instrukcji dezynfekcyjnych. Proszę dostarcz raport z AdwCleaner w stosunku do przetworzonych obiektów (znajdziesz go w C:\AdwCleaner).

Do kasacji zagrożenia z MBAM, ale proszę jeszcze o nowy zestaw raportów FRST.

Oczywiście, to pomyłka, że nie przeniosłem. Już to robię. EDIT: Gotowe. https://www.fixitpc.pl/topic/32352-strony-internetowe-nie-%C5%82aduj%C4%85-si%C4%99-do-ko%C5%84ca-system-widzi-tylko-dysk-c/ Niemniej jednak przekierunkowanie z tego działu do tamtego zostawiam, by była jasność sytuacji.

Dostarcz raport z tej dezynfekcji. Raporty nie wykazują oznak infekcji. W spoilerze zdaję działania poboczne, raczej bez związku z problemem. Problem nie wydaję się być o podłożu infekcyjnym w ogóle, więc temat przenoszę do działu Windows 7.

Rozumiem, że kroki finalizujące wykonane (teoretycznie wymagamy raportu, które to potwierdzi, a jest on opisany w podlinkowanym temacie)? Jeśli tak OK - jeśli nie to warto je wykonać.

To były martwe skróty LNK, już usunięte. Co do szczątek to więcej ich nie widziałem. Deinstalator produktu nie usuwa wszystkiego, często nawet zostawia dane w systemie, by w razie kolejnej instalacji skrócić ją. A co do "jak się pozbyć" to cóż...należy dokładnie odinstalować programy, zaznaczając wszystkie okna co do kasacji plików etc. Do tego jeśli jest możliwość to korzystać z dedykowanych deinstalatorów producenta. Nie, przecież o tym bym poinformował. AdwCleaner nic nie wykrył, a raport wygląda już w porządku. Czy problem ustąpił? Zakładam, że nie (bo nie był spowodowany infekcją), więc temat przenoszę do działu Software.

W takim razie kończymy. Zastosuj DelFix (usuwanie używanych narzędzi) oraz zaktualizuj ważne programy - KLIK.

Składnia linku jest poprawna, nasze serwer i domena funkcjonują. Spróbuj jeszcze raz. Reszta wygląda to już w porządku będziemy kończyć *. Ten komunikat usunie poniższy skrypt. Otwórz Notatnik w nim wklej: Task: {3A526117-ADEF-4999-9D3B-0CD52B4AA529} - System32\Tasks\explorer => Firefox.exe /startup Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych raportów, ani raportu wynikowego (pliku Fixlog.txt). * - usuń narzędzia diagnsotyczno / dezynfekcyjne - KLIK. Zaktualizuj również ważne programy - KLIK.

Prosiłem tylko o skan, a nie skan i dezynfekcję w programie AdwCleaner. Niech już będzie, ale proszę czytaj uważnie moje polecenia. 1. Skasuj ręcznie: C:\Windows\Tasks\{2F056534-01DC-B622-AFCE-5E896979A5CB}.job. 2. Podsumuj obecny stan systemu, napisz czy problem ustąpił.