Miszel03

Tak, chodziło mi od WinRe. Odpowiem jutro

Nie, to tyle.

Problem tworzą szkodliwe proxy, które zostały ustawione w Twoim systemie. Do tego dochodzi jeszcze zarażony plik Hosts i szczątki po adware. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] AutoConfigURL: [s-1-5-21-2702488823-1834147840-793660889-1000] => hxxp://nostopped.net/wpad.dat?e78257fbbac89117d7cc32657e4a68f425903478 ManualProxies: 0hxxp://nostopped.net/wpad.dat?e78257fbbac89117d7cc32657e4a68f425903478 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = U3 idsvc; Brak ImagePath Task: {1FF1897A-9C11-4996-A4CF-90197D6EAE4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {759A4E22-EDF3-4EF2-B936-5F9CE6F81EA6} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe "hxxp://www.cfos.de/pl/cfosspeed/expiration.htm?sw-10.12.2262&days=-10&ret=0&raw=13&exp=101" RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Powtórz akcję z AdwClaner przy użyciu jego najnowszej wersji - KLIK i wykonaj nowy zestaw raportów..

Zrób raporty systemowe FRST.

Proszę o analizę tego pliku w usłudze VirusTotal.com, w celu weryfikacji.

Raport nie wykazuję oznak infekcji. W spoilerze zadaję zadanie poboczne, raczej bez związku z problemem. Temat przenoszę do działu Windows 10.

Oczywiście, nie zauważyłem, ale odpowiem dopiero w wolnym czasie.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Zaktualizuj również ważne programy - KLIK.

Niestety, ale OTL jest nierozwijany i niebezpieczny, więc potencjalnie to może być jego wina. A Sprzątanie to nie opcja dezynfekcyjna, ona tylko odinstalowuje OTL. Proszę dostarcz jeszcze wymagany zestaw raportów systemowych FRST (ze środowiska WinRe).

Raporty są zniekształcone (ucięte) oraz nieaktualne. Wykonaj i dostarcz nowe.

Twój "znajomy" łamię polskie prawo i ja bym tego tak nie zostawił. Mam na myśli przegadaniu mu do rozumu lub zgłoszenie sprawy na policję. Jeśli to jest autoryzowane oprogramowanie typu SpyLogger to niestety, ale bez odpowiedniego dostępu nie powiem na pewno, że nie ma go w systemie. Na podstawie logów jestem w stanie powiedzieć tylko, że system nie jest uszkodzony, ani zawirusowany (typowymi infekcjami złośliwymi) i tak też w Twoim przypadku jest.

Faktycznie, przepraszam - link zapasowy: KLIK.

Owszem, nic nie znalazł. Krzyczy tylko FP FRST. Czy możemy kończyć?

OK, wróć do sekcji "Nad tym muszę się zastanowić" i pobierz narzędzie FixIt od Microsoftu: KLIK. Wykonaj je.

Jak ostatnio: tutaj też nie doszło do infekcji, ale i tak przeprowadzimy skan (oczywiście, niewykluczone, że ta infekcja w ogóle nie rozprzestrzenia się poprzez USB). 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] Winlogon\Notify\ScCertProp: wlnotify.dll [X] C:\Users\Public\polpdfedit.exe C:\Users\Marcin\AppData\Roaming\Microsoft\Excel\zestawienie%20527%20za%202016305790801607721262\zestawienie%20527%20za%202016.xls.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Marcin\AppData\Local\Mozilla C:\Users\Marcin\AppData\Roaming\Mozilla C:\Users\Marcin\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro.

Dostarcz jeszcze log Addition i Shortcut.

Jaka to konkretnie gra i czy na pewno system spełnia jej wymagania? Czy podjąłeś próbę reinstalacji? Dostarcz raport z Dziennika Zdarzeń oraz z FRST.

Przecież prosiłem o aktualizacje MBAM. Masz wersje 1, a już jest 3. Wstawienia pliku tekstowego ma sens, bo muszę sklasyfikować wszystkie wyniki.

Usługa wygląda w porządku i nie mam pomysłu co z tym fantem zrobić. Reszta też OK. 1. Zróbmy weryfikacje plików systemowych. Z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator). W polu komend użyj: sfc /scanow Następnie kliknij ENTER, rozpocznie się skanowanie. Po jego ukończeniu użyj: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie powstanie log SFC - dostarcz go. 2. Nie zauważyłem, że przeglądarka Google Chrome jest tylko szczątkowa. Podam skrypt usuwający, tylko muszę go znaleźć.

Do kasacji nadają się tylko trzy poniższe detekcje wykryte przez HitmanPro. HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QSqlDriverFactoryInterface:\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Trolltech\OrganizationDefaults\Qt Plugin Cache 4.8.false\C:\Program Files (x86)\Mobogenie\ (Rocketfuel) Jeśli chodzi zaś o pendrive to tylko na urządzeniu G:\ coś zostało wykryte. Podepnij go i kliknij Clean. Uwaga: aplikacje usuwa katalogi o nawie muza i muzyka (jeśli takowe odnajdzie). P.S: Widzę, że masz na pendrive instalki aplikacji SpyHunter - a to bardzo wątpliwa aplikacja. Usunąć.

Ja jeszcze coś do tych błędów potem dopiszę, - śledź ten temat.

Jako moderator działu infekcji odniosę się tylko do tego. To oczywiście może być jakiś inny problem, lecz w ostatnim czasie nowy wariant infekcji Adware.Elex jest powiązany właśnie z takim problemem (modyfikacja usługi Themes poprzez dodanie DependOnService). Przykłady z forum: KLIK, KLIK. W związku z tym poproszę o raporty systemowe FRST oraz GMER. Dodaj także pełny wygląd usługi Themes (patrz poniżej). Uruchom SystemLook i w dużym, białym oknie wklej: :reg reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s następnie kliknij w Look. Momentalnie wyskoczy raport - dostarcz go.

Error: (03/11/2017 08:29:42 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program adwcleaner_6.044.exe w wersji 6.0.4.4 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. To błędy z dziennika zdarzeń związane z AdwCleaner, błahe i często się zdarzają - można pominąć. Error: (03/11/2017 06:51:21 AM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym - ale w Twoim przypadku trudno się doszukiwać czego konkretnie to dotyczy. Można ominąć. Error: (03/10/2017 06:44:47 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Często błędy widziane przeze mnie, ale ja nigdy ich nie ruszam, bo zdarzają się bardzo często i trudno na nie zaradzić, a problemu jako takiego nie powodują. Więcej tutaj. Error: (03/12/2017 01:43:37 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (03/12/2017 01:43:37 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (03/12/2017 01:43:37 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (03/12/2017 01:43:37 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (03/12/2017 01:43:37 AM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Error: (03/12/2017 01:43:37 AM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Error: (03/12/2017 01:43:26 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (03/12/2017 01:43:35 AM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1000) (User: ZARZĄDZANIE NT) Description: Inicjacja klienta CBS nie powiodła się. Ostatni błąd: 0x80080005 Error: (03/12/2017 01:43:35 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {752073A1-23F2-4396-85F0-8FDB879ED0ED} nie zarejestrował się w modelu DCOM w wymaganym czasie. Nad tym muszę się zastanowić. Error: (03/12/2017 01:43:35 AM) (Source: Microsoft-Windows-LanguagePackSetup) (EventID: 1001) (User: ZARZĄDZANIE NT) Description: Nie można uruchomić kreatora instalacji pakietu językowego. Uruchom ponownie system i spróbuj uruchomić ponownie kreatora. Zwykły błąd. Po postu był problem z załadowaniem aktualizacji z pakietem językowym (np. w trakcie wyboru).

Podepnij pendriva do protu USB er i zrób z niego raport z opcji Research i Listing za pomocą USBFix. Ten system nie został zainfekowany (ale i tak standardowo w takich przypadkach wdrążam również skan). Fałszywy alarm. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-257339473-2836601490-2675307199-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Brak nazwy -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> Brak pliku Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku U3 idsvc; Brak ImagePath S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] Task: {0138A8FD-A09B-4F0D-AFA1-8C8079C13518} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {3990B779-5E44-43BE-A203-FDAC39D77312} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3E22D726-0A8A-4BB2-A891-81674154561A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {5D982CFE-4CE2-4427-8DEE-8FC997123932} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {61BD247E-B23E-4796-8582-AFD2809D37A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {6D81200E-ECD0-42FA-AB9C-C2403499FEF7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {815C13FE-8053-48DB-BFDD-94C3B9A854EC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {86D250AD-B6DC-46FA-8B3C-BEF06832D702} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {8E594526-D7F1-4963-9000-A09EFBD81CBE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {918AF789-F7DB-4A1B-BC1F-9E5F7127B428} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {AAA479E9-0A98-40B6-9545-F65E382E16E5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {ACECBC0F-9CE0-4600-9392-825692CFF39C} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {BD75B43E-7A45-467C-B61E-A7B08677AAF7} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {C010BBC2-4B51-46EB-80D6-001DC784BEAB} - System32\Tasks\{FFBF6180-448C-4920-8999-5C1B471C8207} => pcalua.exe -a C:\Users\Właściciel\AppData\Local\Temp\Temp1_FontShow.zip\FontShow_Setup.exe Task: {D5C746C4-A9E4-4C94-A84B-FE417825AC9D} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {F0AD4DF0-CE44-4402-97E3-8217DF70B162} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F0E542C0-8463-47A1-84E8-07923412DDD5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą narzędzia HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Pamiętaj tylko o raporcie z HitmanPro.