-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
OK, jeśli będzie występował na dal to temat przeniosę do działu Sieci.
-
Problem - usunięcie UCGuard z Win 10
Miszel03 odpowiedział(a) na Piotrwin temat w Dział pomocy doraźnej
Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso: Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję. System jest zainfekowany przez nowoczesne (jak i nie) adware. Widzę również elementy infekcji BRONTOK. Od razu przechodzimy do działań. 1. Wejdź do poniżej wymiennych katalogów i spróbuj z ich poziomu uruchomić deinstalator (pliku uninstall.exe). C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Pryta\AppData\Roaming\Jaesywacuk\Ratether.dll -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] S4 MSSQLServerADHelper; "C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] U0 aswVmm; Brak ImagePath S2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X] S0 b06bdrv; System32\drivers\bxvbda.sys [X] U3 idsvc; Brak ImagePath 2017-01-13 16:14 - 2017-01-13 16:14 - 0140288 _____ () C:\Users\Pryta\AppData\Roaming\Installer.dat 2017-01-13 16:15 - 2017-01-13 16:15 - 0018432 _____ () C:\Users\Pryta\AppData\Roaming\Main.dat Task: {158FAEEE-3658-4E40-89DB-EBB39C21513B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4031543A-16BF-4565-932A-42347CA60E66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {48E12151-4E60-47CE-9764-351965FFD1B1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {5726270D-24B0-4EB7-8234-FDC5DA049DD7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {60247F35-FA52-4E85-BEFE-E7BF4696908B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7656A53C-9444-40F1-B721-9E8F481A5140} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9075CEED-D6EC-4473-A438-45165AA3B4E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {91D85B07-ED99-43A4-8784-6360ACDAE4A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {95915DCA-D28E-4F09-BAC9-BBA12C283471} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {9A07D37A-3BEF-4687-A824-2C314BBFADD8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {AF468194-9394-455D-B97E-56E6C88B03C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B9345462-2825-4EF3-805C-18B53E804B87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB10524F-1AD5-4B75-8142-B23834CF447C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C7BC5D33-2389-48AD-A657-85A3E6426143} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D980B7EA-DC49-4E88-BA51-92D884221E14} - System32\Tasks\PrytaPauperismDenaturationV2 => Rundll32.exe OstentationPyrethrin.dll,main 7 1 Task: {F3497017-D3AA-429D-971E-E7F04D1C3238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\AirMirror (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=macmgoeeggnlnmpiojbcniblabkdjphe ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Cut the Rope (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=jfbadlndcminbkfojhlimnkgaackjmdo ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=knipolnnllmklapflnccelgolnpehhpl ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Piotrek18 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Piotrek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Óäŕëčňü SpyHunter4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Error and Usage Reporting.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Surface Area Configuration.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Program Files (x86)\UCBrowser C:\Program Files\żěŃą EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome ChromeDefaultData jest zidentyfikowany już od dawna jako prefabrykowana modyfikacja adware. Działania: kasacja profilu, założenie czystego. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 4. Zrób raport z narzędzia AdwCleaner z opcji Skanuj (chcę sprawdzić czy na pewno już nic nie widzi). Dostarcz ten raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
W raportach brak oznak infekcji, w spoilerze głównie sprzątanie resztek po adware / PUP.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
Wszystkie (a to dziwne, bo przecież AdwCleaner je wywalił). -
ESET wykrywa BOTNET'a. Proszę o jak najszybszą pomoc
Miszel03 odpowiedział(a) na njczyziu temat w Dział pomocy doraźnej
HitmanPro nie wykrył żadnej infekcji, w FRST również (jak już wcześniej wspomniałem) żadnej nie widzę. Nie mam pomysłu na to spróbuj zresetować router i poobserwuj. -
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
Wszystko wygląda już o wiele lepiej. Co do incydentu z pocztą to dobrze, że o tym napisałeś - sprawdzę to. 1. Skasuj: C:\Users\Gosia\AppData\Roaming\KuaiZip 2. Przeskanuj całościowo system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. -
Ciągłe komunikaty z windows defender
Miszel03 odpowiedział(a) na xantyr temat w Dział pomocy doraźnej
Zagrożenia, które zostały wykryte przez Windows Defender usuń. Po tym działaniu dostarcz screen z zakładki Historia (z widokiem na ścieżki zagrożeń). Dostarcz również raporty ze skanowania programami Malwarebytes oraz AdwCleaner (narzędzie TDSSKiller użyte bezpodstawnie, bo przecież tutaj nie ma żadnej infekcji rootkit). W systemie faktycznie widoczne infekcje, bez zwlekania przechodzimy do działań. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nhook.exe U3 idsvc; Brak ImagePath S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] S2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-06-03] () [brak podpisu cyfrowego] 2016-07-09 10:43 - 2016-07-09 10:43 - 6870016 _____ () C:\Users\Xantyr\AppData\Roaming\agent.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0128512 _____ () C:\Users\Xantyr\AppData\Roaming\Installer.dat 2016-07-09 10:43 - 2016-07-09 10:43 - 0018432 _____ () C:\Users\Xantyr\AppData\Roaming\Main.dat C:\Windows\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F}.job Task: {2ACEFA9A-4C53-43F0-A9CA-9CCBD2A04D74} - \AutoPico Daily Restart -> Brak pliku Task: {306B8F2A-7AC7-4824-9D7D-95F01617651F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {401F9A89-2B52-48DD-8130-0D5ADD372AD3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {4F62D0A4-811C-4219-8149-B86A0CC0784E} - System32\Tasks\{2E72A83C-59C0-E2BC-FD74-11C89002AE7F} => C:\Users\Xantyr\AppData\Roaming\{2E72A~1\PRICEF~1.EXE Task: {52985967-A27A-4ABC-8FCB-F5BDA1819A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5C476A51-9814-472F-BFBA-4E989655883C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {A1FC7072-9562-42B0-9309-5F050799CDB0} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {BFE1742A-A34A-4FDE-831E-C0F3B930E6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D9BA2E95-CBA9-43DB-AB47-23FCEF85F444} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DD5C6861-9413-44C4-BE16-AECD6D731810} - System32\Tasks\XantyrBicepsHymnedV2 => Rundll32.exe ScuttledIrrigating.dll,main 7 1 Task: {DE51687B-57F5-4C5C-A22E-515A9127D979} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {EA072DB7-1184-4A9C-9425-FEC7F618D78C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku FirewallRules: [{517819FA-5458-4513-940B-2B6B8F64D707}] => C:\Windows\KMS-R@1n.exe FirewallRules: [{1857A4D9-7D98-4161-94B5-1633353533FE}] => C:\Windows\KMS-R@1n.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\Users\Xantyr\Desktop\Nowy folder\JDownloader 2.lnk C:\Users\Xantyr\Desktop\Nowy folder\LOL Recorder.lnk C:\Users\Xantyr\Desktop\Nowy folder\rafon — skrót.lnk C:\Users\Xantyr\Desktop\Nowy folder\Terraria.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź skanowanie za pomocą programu HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
W raportach brak oznak infekcji, w spoilerze poprawki.
-
Proszę o pomoc w usunięciu śmieci
Miszel03 odpowiedział(a) na Didu2012 temat w Dział pomocy doraźnej
W raportach brak oznak infekcji, system jest w dobrej kondycji. Występowanie reklam w tej dobie internetu jest niestety, zwykłą codziennością, coraz trudniej to w całości blokować. W przeglądarkach proponuje zmienić bloker reklam z AdBlock na uBlock Origin, ten drugi jest wg mnie znacznie lepszy. -
Nie dołączyłeś raportu wynikowego ze skanu AdwCleaner (patrz pkt. 2 mojego pierwszego posta).
-
OK.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
1. Przeprowadź jeszcze raz skanowanie w programie AdwCleaner, ale po nim wybierz opcję Oczyść. Dostarcz raport z tego działania. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{A0CDF8C2-1F24-48E7-999B-BE0B389EC666}: [NameServer] 188.120.241.135,8.8.8.8 NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {20B3B3F3-AEF9-4A29-BC0A-6D80579DEE45} - System32\Tasks\Havuphatecercult Verfier => C:\Program Files (x86)\Clutiph\befeck.exe C:\Program Files (x86)\Clutiph CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
OK, mapa domem wywalona, więc będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przez przypadek nie odtworzyć szkodnika) - KLIK / KLIK.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
-
Wyniki z MBAM to "witaminki" adware / PUP. Do kasacji. W raportach brak oznak infekcji, w spoilerze działania poboczne. Temat przenoszę do działu Windows 10.
-
W raportach widać elementy adware / PUP. Jest również znany Ci już wpis uruchamiający zodiacgameinfo. Widzę tutaj również szczątki po oprogramowaniu SpyHunter, które nie cieszy się dobrą opinią (patrz w spoiler). Jeśli Ty chcesz je usunąć to zastosuj SpyHunterCleaner. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-985698470-1170973968-2176422106-1000\...\Run: [AAA] => explorer.exe hxxp://kb-ribaki.org GroupPolicy: Ograniczenia S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\WINDOWS\TEMP\GPUZ.sys [X] R4 IOMap; \??\C:\WINDOWS\system32\drivers\IOMap64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] U3 uxtyapow; \??\C:\Users\AAA\AppData\Local\Temp\uxtyapow.sys [X] Task: {04C7EAE8-E651-4E85-BB8F-57F5AA87FE1A} - \AutoPico Daily Restart -> Brak pliku Task: {D2626EE1-A826-45C5-BE62-9194A309CD48} - System32\Tasks\AAA => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v AAA /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Small Business Advantage\Intel® Small Business Advantage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Ad. 1 Widzę, że przeprowadziłeś tylko skanowanie w AdwCleaner, a miałeś również wykonać dezynfekcję (patrz jeszcze raz pkt. 1 mojego ostatniego postu). Wykonaj to i dostarcz raport. Po tej dezynfekcji dostarcz nowy raport Addition. Ad. 2 OK. Możesz zacząć ostrożnie* korzystać z płatności online na tym urządzeniu. *za każdym razem sprawdzasz numer konta i kwotę, jeśli cokolwiek się nie zgadza to wracasz do nas.
-
W takim razie wywalam te serwery proxy. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ProxyServer: [s-1-5-21-721309439-3976775549-3943258617-500] => http=127.0.0.1:8080;https=127.0.0.1:8080 RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz już dostarczać żadnych raportów, podsumuj obecną sytuację.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
OK, ale czekam jeszcze na odpowiedz dot. rosyjskich adresów na routerze. Idziemy dalej: Powtórz operację z AdwCleaner, ale po opcji Skanuj zastosuj opcję Oczyść. Dostarcz raport z powyższego działania i zrób nowy zestaw logów FRST. -
W HitmanPro usuń wszystkie detekcje z sekcji Cokkies oraz Potential Unwanted Programs, czyli zostawiasz tylko sekcje Suspicious Files. Komentując resztę to wygląda to już w porządku, prócz siedzącej dalej (usuwanie powiodło się, ale nie widać efektów) szkodliwej mapy domen, w przeglądarce IE. 1. Pobierz AdwCleaner uruchom go i kliknij szukaj, a gdy uaktywni się przycisk Usuń rozwiń pasek Opcje i zaznacz Resetuj zasady IE, po czym kliknij Oczyść. Dostarcz raport z działania AdwCleanera (znajduję się w lokalizacji C:\AdwCleaner) oraz zrób nowe raport FRST (bez Shortcut). 2. Wykonaj test na obecność szkodnika VbKlip / Banatrix. Otwórz Notatnik i przyklej do niego poniższy 26 cyfrowy przykład numeru konta. 11101010101010101010101010 Sprawdź czy nie został podmieniony na inny. Poinformuj mnie o wyniku testu.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
Na pasku narzędzi wybierz Plik, a z niego pozycję Odinstaluj. Po tym pobierz narzędzie na nowo i wykonaj czynności z pkt. 3 (p.s ma być Skanuj, po prostu odnoszę się do starego nazewnictwa opcji w tym programie). Oczywiście, po tym przechodzisz do następnych punktów. -
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne |(są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przypadkiem nie odtworzyć szkodnika z kopii) - KLIK / KLIK. -
W systemie niewątpliwie widać infekcje, które wydają się łatwe do wyleczenia. Komentując zaś wynik z MBAM to praktycznie nic nie wykryto, jakieś "witaminki" z pamięci podręcznej związane z PUP.Optional.Yontoo. Oprócz oczywistych detekcji, to wygląda mi na infekcje: Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () ponieważ data utworzenia, sama nazwa, możliwość otworzenia pliku w przeglądarce, rozszerzenia oraz występowanie w tym miejscu w raportach wygląda bardzo podejrzanie. Jeśli Ty byś to kojarzył to mi powiedz i nie wykonuj poniższych zadań. 1. Spróbuj uruchomić ten deinstalator: C:\Program Files\easyMule\Uninstall.exe 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 IFEO\addrbook.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brctrcen.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brinstck.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brmfcwnd.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brolink0.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brscutil.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\driverbooster.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\pcfxset.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmnetcfg.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmplayer.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmware.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () GroupPolicy\User: Restriction ? GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1006\User: Restriction GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1005\User: Restriction HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-10] S1 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\EEK\Run\cleanhlp32.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Task: {6B40D41A-9031-4040-BADE-7D61D426ABDA} - System32\Tasks\{4BF10F89-DE1C-4FC6-A245-D6398973D473} => pcalua.exe -a "C:\Program Files\easyMule\Uninstall.exe" -d C:\Users\Tommy\AppData\Local\Temp\easymule AlternateDataStreams: C:\ProgramData\Temp:2B11E0DF [236] AlternateDataStreams: C:\ProgramData\Temp:A73B0434 [109] AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9 [124] C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage-journal EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść przeglądarkę FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Przeskanuj system za pomocą programu HitmanPro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Znalazł je w kwarantannie KVRT, więc były już unieszkodliwione.