Miszel03

Twój temat nie otrzymał odpowiedzi przez bardzo długi czas, a w takiej sytuacji użytkownik powinien go zgłosić - KLIK. Wygeneruj i dostarcz nowe raporty z narzędzia FRST używając najnowszej wersji.

Założyłeś temat w dziale pomocy doraźnej (dot. infekcji itp.), a ten dział wymaga przedstawiona dodatkowych raportów na temat sytemu. Wygeneruj i dostarcz raporty z narzędzi FRST oraz GMER.

W systemie liczne modyfikacje adware i infekcji. Router czysty, adres w porządku. Powiem tylko jeszcze, że raporty z pozostałych 3 urządzeń też pasowałoby sprawdzić, ale to dopiero jak poproszę. 1. Włącz przywracanie systemu. 2. Przez panel sterowania odinstaluj adware / PUP: sweet-page uninstall webget WordAnchor 1.10.0.19 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1406573753&from=cor&uid=ST3500418AS_9VMQH62TXXXX9VMQH62T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1406573753&from=cor&uid=ST3500418AS_9VMQH62TXXXX9VMQH62T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1406573753&from=cor&uid=ST3500418AS_9VMQH62TXXXX9VMQH62T&q={searchTerms} HKU\S-1-5-21-1013546268-4047502859-3621741523-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1406573753&from=cor&uid=ST3500418AS_9VMQH62TXXXX9VMQH62T SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {018A5742-0453-4ace-B4C0-9251E0F8FC29} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-1013546268-4047502859-3621741523-1000 -> {018A5742-0453-4ace-B4C0-9251E0F8FC29} URL = hxxp://startsear.ch/?src=sp&aff=67&cf=0f4f9c73-761a-11e2-ab29-000e2e5ae9ff&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku Toolbar: HKU\S-1-5-21-1013546268-4047502859-3621741523-1000 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Task: {AE33E590-32AF-4D5C-B0B2-0BB652159FA0} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{5C469998-1E39-459B-ACDB-5713821CAAE5}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{5C469998-1E39-459B-ACDB-5713821CAAE5}.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\L.A. Noire\L.A. Noire.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MotoGP 14\MotoGP 14 (x64).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MotoGP 14\MotoGP 14 (x86).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MotoGP 14\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games\Path of Exile.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Uninstall Mafia II.lnk C:\Users\Luku\Desktop\LSHunterTVApp.lnk C:\Users\Luku\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Luku\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki. ------> Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. ------> Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach widoczne liczę pozostałości po infekcjach, stawiam na to, że ustawione izraelskie adresy na routerze to sprawka infekcji, a nie Twoja (jeśli tak nie jest to pomijasz pierwszy krok i kasujesz ze skryptu linijkę CMD: ipconfig /flushdns). P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3491133156-2926685731-963051904-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] ShortcutWithArgument: C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-and-launch-app="C:\Users\Bogusia\AppData\Roaming\Mozila" C:\Users\Bogusia\AppData\Roaming\Mozila C:\ProgramData\Microsoft\Windows\Start Menu\Samsung\Magic Keyboard\Magic Keyboard Properties.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\YandexBrowserService" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ja w raportach infekcji nie widzę. Przeskanujemy system wydajnym skanerem, zabezpieczymy konto skype, wdrążymy poprawki do systemu. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2762488165-1568373490-1817202181-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Anna\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2762488165-1568373490-1817202181-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Anna\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku HKLM\...\Run: [] => [X] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2762488165-1568373490-1817202181-1001 -> DefaultScope {9C9067F7-D336-4C66-895D-8DA1AA36F00B} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Support\Manual.lnk C:\Users\Anna\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk CMD: dir /a C:\Users\Anna\AppData\Roaming\*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, temat przenoszę do działu Pozostałe zagadnienia komputerowe.

Cześć, jak na razie kwalifikowany dostęp do działu Malware mają tylko 2 osoby - ja (szkolenie) i picasso, więc pozwolę sobie odpowiedzieć. Ten błąd jest charakterystyczny dla brakujących, uszkodzonych lub wyrejestrowanych z systemu bibliotek. Autor (już dawno niewspieranego OTL) nie zna precyzyjnego rozwiązania tego problemu. Sugerował, że to jest problem wymieniony na początku mojego postu, ewentualnie ma no to wpływ oprogramowanie zabezpieczające. Zdiagnozowanie tego problemu jest trudne, bo komunikat zwykle nie podaję konkretnej informacji, o którą bibliotekę dokładnie chodzi. Twoje rozwiązanie jest mi obce, ale wszystko co jest skuteczne jest dobre. Wiem, że picasso prosiła kiedyś o raport z narzędzia Process Monitor, ale za dużo jej to nie dało. Pomoc jest darmowa, istnieje tylko możliwość przekazania dotacji na utrzymanie serwisu. OTL jest już niewspierany i mało kto z niego korzysta, a jeśli korzysta to popełnia błąd, bo naraża użytkownika na pogorszenie sytuacji. Pozdrawiam, M.

Fix nie został zakodowany tak jak prosiłem, czyli z UTF-8. Cześć się nie wykonała, wdrąż poniższy Fix jeszcze raz (już kodowanie zmienione przeze mnie). Fixlist.txt Dostarcz Fixlog i nowy log Addition.

Na przyszłość: zakładając tu temat stosuj się do naszych zasad. Raporty wygenerowane z nieprawidłowymi ustawieniami (skan MD5 i BCD nie jest potrzebny). Teraz pomijam te błędy (mają małe znaczenie w tym przypadku), ale następnym razem będę uparcie prosił o prawidłowe raporty. W raportach brak oznak infekcji, wdrążam kilka drobnych poprawek i skanowanie. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego (same zabezpieczenia systemu Windows 7 nie są wystarczające). Przejrzyj: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia <======= UWAGA GroupPolicyScripts: Ograniczenia <======= UWAGA SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-4182285792-3264255131-334601476-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku U0 aswVmm; Brak ImagePath S3 dgderdrv; System32\drivers\dgderdrv.sys [X] U3 pgddqpoc; \??\C:\Users\Kamil\AppData\Local\Temp\pgddqpoc.sys [X] <==== UWAGA C:\Users\Kamil\Documents\American Truck Simulator\readme.rtf.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Pozostałe zagadnienia komputerowe.

Temat na wszelki wypadek (czytaj: gdyby problem wrócił) przenoszę do działu Windows 10. To nie problem o podłożu infekcyjnym. W spoilerze zadaję zadania poboczne, nie mające większego znaczenia.

W takim razie zamykam.

Wygeneruj nowy zestaw raportów FRST (pobierz nową wersje: KLIK) oraz GMER.

Wygeneruj nowy zestaw raportów FRST (pobierz nową wersje: KLIK) oraz GMER.

Przeczytaj końcówkę pkt. 1 i wykonaj kroki, których nie wykonałeś. Przyłóż się do pkt. 5 (folderów martwych kont nie ruszaj).

Brakuje trzeciego obowiązkowego raportu Shortcut.txt generowanego przez FRST. Dostarcz go lub wygeneruj.

Myślę, że wszystkiego na pewno nie uprzątnął (bo wcześniejsze raporty wskazują na kolosalny bałagan w systemie). Zrób nowy zestaw raportów FRST oraz GMER.

Nie widzę tej modyfikacji, która była poprzednio, ale za to są inne, które trzeba skorygować. 1. Przez panel sterowania odinstaluj: Adware / PUP: Youtube AdBlock. Zbędniki / sponsorzy instalacyjni: McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {9089FD84-B5DE-4A10-B75D-A58870B08737} - System32\Tasks\Update Service for Youtube AdBlock => C:\Program Files (x86)\Youtube AdBlock\h3Kc63R.exe [2017-02-04] () Task: C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job => C:\Program Files (x86)\Youtube AdBlock\h3Kc63R.exe C:\Program Files (x86)\Youtube AdBlock C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk GroupPolicy: Ograniczenia - Chrome S3 dbx; system32\DRIVERS\dbx.sys [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt (kodowanie UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skróty od przeglądarek Mozilla FireFox oraz Google Chrome znikną, ponieważ została wykryta w nich modyfikacja Cyrlicy, a ja ją usuwam. Utwórz nowe skróty do tych programów. 4. Wyczyść przeglądarki. ------> Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. ------> Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jasiek, każdy kto tutaj prosi o pomoc musi wykazać inicjatywę ze swojej strony. Dostarcz wyniki działań, o której prosi picasso.

Skopiuj jego zawartość, utwórz dokument tekstowy (rozszerzenie .txt) - wklej tam log, a następnie załącz na forum. Od 2017-02-11 do 2017-02-19 mam urlop, więc będę na forum tylko w celach moderacyjnych.

Raport wygląda w porządku Pozdrawiam.

Fix, który podałem w ogóle się nie wykonał. Gdzieś doszło do zniekształcenie, ale raczej nie na forum, bo stosuje specjalny BBCode. Wykona Fix jeszcze raz, poniższej załączam gotowca. Fixlist.txt

OTL to przestarzałe narzędzie, już niewspierane, więc bezużyteczne. Raporty kasuje. Zrób raporty systemowe za pomocą nowoczesnego narzędzie FRST. Dołącz również log z GMER.

OK.

Przez następy tydzień stoje kiepsko z czasem, więc raporty systemowe sprawdzę na pewno, tylko trochę później.