Miszel03

Proszę o dostosowanie tematu do zasad działu.

Ogłoszenie: WAŻNE - Zakładanie tematu: obowiązkowe logi Wszystko zostało przecież podane krok po kroku, raporty muszą zostać okazane na forum.

Proszę o dostosowanie tematu do zasad działu. SpyHunter to program o wątpliwej reputacji.

Raporty nie wykazują oznak infekcji, a drobną kosmetykę systemową pomijam ze względu na to, że jest nieistotna. To wielokrotnie powielany temat, głównie na zagranicznych forach: Malwarebytes Anti-Malware Premium blocks peer-to-peer programs Malwarebytes flagging malicious IP in Qbittorent? Platformy peer-to-peer (zwłaszcza torrent) to obszary krytyczne dla bezpieczeństwa. To normalne, że części z tych adresów będzie wykazywała szkodliwą aktywność. Rozwiązaniem jest albo pozbycie się całkowicie takich platform lub zmienienie ich na inne (bezpieczniejsze). Proszę o wyciąg z historii Malwarebytes. To ważne, by wykryć ewentualne zagrożenie.

A jak oceniasz obecną sytuację?

Odczyt Dziennika Aplikacji można połączyć z tymi dwoma następującymi rozszerzeniami powłoki (instalacja InstaTrader): ================================================== Extension Name : MetaViewer IconHandler Disabled : No Type : Icon Handler Description : MetaViewer Version : 5.0.0.1241 Product Name : MetaViewer Company : MetaQuotes Software Corp. My Computer : No Desktop : No Control Panel : No My Network Places : No Entire Network : No Remote Computer : No Filename : C:\Windows\system32\`64.dll CLSID : {5FE45ECA-10B4-4110-A843-3EF1E3C1B646} File Created Time : 2014-09-02 17:43:07 CLSID Modified Time: 2018-06-06 17:36:52 Microsoft : No File Extensions : .ex4, .ex5 File Attributes : A File Size : 6 165 400 .NET Extension : No Digital Signature : Missing File : No ================================================== ================================================== Extension Name : MetaViewer PropertyHandler Disabled : No Type : Property Handler Description : MetaViewer Version : 5.0.0.1241 Product Name : MetaViewer Company : MetaQuotes Software Corp. My Computer : No Desktop : No Control Panel : No My Network Places : No Entire Network : No Remote Computer : No Filename : C:\Windows\system32\MetaViewer64.dll CLSID : {486E040B-5D89-4DB2-B133-D3ABC767941C} File Created Time : 2014-09-02 17:43:07 CLSID Modified Time: 2018-06-06 17:36:52 Microsoft : No File Extensions : File Attributes : A File Size : 6 165 400 .NET Extension : No Digital Signature : Missing File : No ================================================== Sugeruję więc wejście MetaViewer IconHandler oraz MetaViewer PropertyHandler (drugie chyba konkretnie będzie odpowiedzialne za problem) zdezaktywować* i ponownie uruchomić system. Po tym zabiegu należy sprawdzić rezultaty. Napisz co zaobserwowałeś. * - to wytypowane wejście niedomyślne, aczkolwiek nie kojarzę tego programu w ogóle. Wg Google to chyba jakaś platforma handlowa, w każdym razie upewnij się, że ewentualne błędy związane z wyłączeniem tych wejść nie spowodują u Ciebie żadnych strat.

Hm, program ocenił stan dysku na dobry i ja również nie widzę żadnych niepokojących usterek. Przechodzimy do rozpoznania rozszerzeń powłoki: Uruchom ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum.

To nie jest problem wywołany złośliwym oprogramowaniem. Temat przenoszę do działu Windows 8. P.S: Instalacja MinerGate jest celowa?

Została przeprowadzona tzw. reperacja nakładkowa bez utraty danych, tak? Szkoda, że nikt nie poprosił o te raporty wcześniej tylko na ślepo brnął w naprawę. Od zawsze powtarzam, że najważniejsza jest diagnostyka. Dziennik Aplikacji prezentuję niepokojące dane: Error: (06/06/2018 07:28:22 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Windows Explorer z powodu tego błędu. Program: Windows Explorer Problem może obejmować Hardware. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log. Ścieżka aplikacji powodującej błąd: C:\WINDOWS\explorer.exe Ścieżka modułu powodującego błąd: C:\Windows\system32\MetaViewer64.dll Jeśli trop Hardware okaże się ślepy zajmiemy się rozpoznaniem rozszerzeń powłoki.

Temat przenoszę do działu Pomocy doraźnej. Podane symptomy sugeruję infekcję. Proszę dostarczyć zestaw obowiązkowych raportów systemowych FRST.

Czy będzie możliwość przesłania raportów na zewnętrzny hosting (np. MediaFire)? Z tego co widzę awaryjny wklej.org nie działa poprawnie, a więc nie możemy z niego skorzystać.

Lyniola, raporty muszą być bez dat. Oznacza to, że muszą być pobrane z miejsca, w którym FRST został uruchomiony, a nie z archiwalnego C:\FRST. Brak data jest potwierdzeniem, że są to najnowsze raporty.

Temat został założony równolegle na innym forum - KLIK w związku z czym ten zostaje zamknięty.

W takiej sytuacji należy wygenerować raport z poziomu środowiska WinRe.

Nie wiele mogę powiedzieć. Za mało szczegółów. Powiedz mi proszę co widzisz podczas próby uruchomienia systemu? Czy jakiś BSOD, czy czarny ekran, czy coś zupełnie innego? Raport pokazują następujące naruszenie: C:\Windows\System32\codeintegrity\Bootcat.cache BRAK <==== UWAGA ...natomiast brak bootcache.dat niekoniecznie musi być przyczyną. System może bootować bez tego pliku, o ile folder catroot nie jest uszkodzony i zawiera definicje sterowników ładowanych podczas startu. Jeżeli chcielibyśmy się upewnić, że brak tego pliku nie jest przyczyną, to przekopiowany plik zastępczy do podmiany musi pochodzić z tego samego systemu i w tych samych bitach oraz z podobnego układu sprzętowego. Była dokonywana próba uruchomiania Automatycznej naprawy startu? Niestety, nie jestem w stanie zweryfikować poprawności wykonania CHKDSK i skanu SFC, gdyż raporty z tych narzędzi nie są w ogóle nagrywane z poziomu WinRe.

Miło mi, że moja pomoc okazała się przydatna. Materiały, które pomogą zabezpieczyć Ci się przed taką sytuacją w przyszłości: - Zabezpieczenia: Infekcje z pendrive / mediów przenośnych - Zabezpieczenia przed infekcjami z USB Na koniec zastosuj również DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Prawdę mówiąc to w raporcie nie widzę takiego pliku na tym pendrive, ale z nazwy to będzie komponent przywracania. W każdym razie wydaję się, że można go usunąć. Podłączenie tego pendrive (tu mapowany jako E:\, teraz czyściliśmy urządzenie F:\) do niezabezpieczonego systemu spowoduje jego zarażenie. W przypadku chęci jego dezynfekcji proszę się odezwać.

Brakuje raportu Shortcut - proszę o jego uzupełnienie.

Dziękuje za raport. Teraz możemy przejść do usunięcia infekcji. 1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: F:\ \desktop.ini F:\ \IndexerVolumeGuid F:\System Volume Information F:\Removable Drive (8GB).lnk CMD: attrib /d /s -r -s -h F:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy przejdziesz do tego punktu infekcji już nie powinno być: przenieś swoje dane z folderu bez nazwy do głównego widoku pendrive lub w inne bezpieczne miejsce, a sam folder skasuj. 3. Przedstaw plik Fixlog, powiedz jak oceniasz obecną sytuację. W następnych krokach pokieruję Cię jak zabezpieczyć się przez tego typu infekcjami w przyszłości. Rozumiem, aczkolwiek proszę mieć na uwadze, że to urządzeniu również jest zarażone. Zamierasz sformatować tego pendrive? Oczywiście, mogę pomóc w jego dezynfekcji.

Pendrive został zainfekowany przez robaka Gamarue, który tworzy na urządzeniu ukryty folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika. Jedyny widoczny element to skrót o nazwie urządzenia, który uruchamia infekcje. System na szczęście pozostał nienaruszony, gdyż Windows Defender zablokował proces infekcji. Teraz pobiorę raport z pendrive, by zobaczyć konkretne ścieżki infekcji (od razu ściągnę również atrybuty ukrycia danych): 1. Podepnij zarażone urządzenie F:\. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Folder: F:\ CMD: attrib /d /s -r -s -h F:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przedstaw plik Fixlog, nie dokonuj po za tym żadnych działań. P.S: Jesteś pewny, że tylko urządzenie F:\ zostało zainfekowane? Windows Defender wykrył infekcję w dwóch urządzeniach: F:\ i E:\.

Sugeruję więc wykonać reinstalację przeglądarki.

Prosiłem tylko o zestaw raportów FRST, których tutaj nie ma.

marti Raporty nie wykazują oznak infekcji. Idąc zaś tropem problemu sprawdziłem adres IP, z którego logujesz się na forum (często on jest przyczyną przymusowej weryfikacji CAPTCHA). W usłudze DNSBL listuje ten adres baza CBL: Pogrubione fragmenty są "zarzutami" w stosunku do tego adresu. Przypuszczalnie to właśnie zabezpieczenia CAPTCHA próbują zatrzymać ten szkodliwą aktywność. Sugerowanym przeze mnie rozwiązaniem jest zmiana adresu IP - spróbuj to zrobić resetując router lub kontaktując się ze swoim dostawcą Internetowym. P.S: Adres IP w cytacie został przeze mnie zamazany (cyfry zastąpione znakiem X), ze względu na uszanowanie Twojej prywatności.

Moje obawy potwierdziły się - winny może być dysk. Ilość realokowanych sektorów jest bardzo niepokojąca. Niestety, moja specjalizacja dotyczy gałęzi Software, ale powiadomiłem moderatora Hardware by na to spojrzał Groszexxx i ewentualnie przejął temat. Na ten moment zdecydowanie radzę szybko kopiować ważne dane na inny nośnik.

Raporty nie wykazują oznak infekcji. Zresztą jak sam słusznie zauważyłeś problem gałęzi Software praktycznie wyklucza reinstalacje systemu. Niewykluczony z kręgu podejrzanych jest właśnie dysk. Wykonaj więc diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Proszę o dostarczenie pełnego zestawu raportów FRST w celu korekcji. W pierwszych raportach widoczna jest infekcja, natomiast nie wiem w jakim jest stanie po zaleceniach Jessi, ale nie wydaję mi się, że została usunięta.