-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
Poprawione, spróbuj teraz.
-
OK. Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny. Jedziemy dalej z sprzątaniem: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) "DisableNotifications"= 0x0000000000 (0) "DoNotAllowExceptions"= 0x0000000000 (0) Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. 2. Uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero.
-
Thanks Luuk, but it's also your birthday, so happy birthday and (for all user) good luck in 2017
-
Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać. Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath 2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport z Farbar Service Scanner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Problem z "MyLucky123" itp. oraz InterHop
Miszel03 odpowiedział(a) na Zi84 temat w Dział pomocy doraźnej
1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego] R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Gubed RemoveDirectory: C:\Program Files (x86)\Gubed_WMI RemoveDirectory: C:\Program Files (x86)\Firefox 2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: DeleteQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Problem z Windows Defenderem. Nie można zainicjować aplikacji: 0x80070006
Miszel03 odpowiedział(a) na ocios temat w Dział pomocy doraźnej
Coś mi się wydaję, że Tryb Awaryjny również jest uszkodzony. W trybie normalnym uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. -
To jest dział, który zajmuję się leczeniem systemu pod kątem infekcji, a Tobie chyba nie dokończa o to chodzi (jeśli tak to napisz PW do mnie, albo do Rucka, a przeniesiemy temat do odpowiedniego działu na forum). Jeżeli jednak się mylę to dostarcz zestaw raportów FRST oraz GMER.
-
Problem z programami (zamykają się same, resetują bądź wyrzucają błędy)
Miszel03 odpowiedział(a) na Kamilo87 temat w Windows 10
Raporty zostały wygenerowane przy użyciu bardzo starej wersji narzędzia FRST (sprzed przeszło siedmiuset dni!). Pobierz nową wersję (KLIK) i jeszcze raz zrób nowy zestaw raportów. -
W raportach brak oznak infekcji. Czysto. Możesz podać link, tak będzie łatwiej.
-
Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty.
-
Polecamy się na przyszłość
-
Raporty wyglądają już w porządku, a skoro piszesz, że problem ustąpił to będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK oraz zapoznaj się z tematem jak nie dać się oprogramowaniu typu adware / PUP - KLIK. Masz wszystko opisane na tej stronie: KLIK.
-
W raportach widać już tylko szczątki po adware / PUP. Podany błąd sugeruje, że była tutaj infekcja, podstawiająca prefabrykowany profil / rozszerzenie do przeglądarki Google Chrome. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku U0 aswVmm; Brak ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {6566CA38-1877-4183-8ADC-91807A77773D} - \Driver Booster SkipUAC (Andrzej) -> Brak pliku Task: {BAFC3BEF-1058-4795-9C25-048BE16A4C30} - \{082BAA99-0040-47ED-8E00-5A1B7455D8F1} -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk C:\User\Andrzej\AppData\Local\kemgadeojglibflomicgfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Napisz czy problem ustąpił.
-
Dostarczyłeś tylko 2 raporty z narzędzia Farbar Recovery Scan Tool, czyli FRST oraz ADDITION, a ma być jeszcze do tego raport SHORTCUT. Raport dodaj używając opcji Edytuj w poście.
-
G DATA przeniosła do kwarantanny pliki ERUNT, który patrząc po MD5 i po nazwie nie jest szkodliwy - KLIK. 1. Przez panel sterowania odinstaluj: Popcorn Time (nie jestem pewny co do tej detekcji, więc jeśli program znasz i mu ufasz to możesz zostawić). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku CHR StartupUrls: Profile 1 -> "hxxp://istart.webssearches.com/?type=hp&ts=1404513516&from=amt&uid=TOSHIBAXMK5055GSX_79RJS13JSXX79RJS13JS","hxxps://start.allianz.pl/","hxxps://www.google.pl/" Task: {0528E465-F2D0-4CD3-9B75-AA0A29C1127B} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku C:\Users\Bob\Desktop\Bob\AppData\Roaming\Microsoft\Word\662%20rodzic%20bez%20szpitala%2015%25304696493377610516\662%20rodzic%20bez%20szpitala%2015%25.doc.lnk C:\Users\Bob\Desktop\ASUS\System tool\ASUS InstantOn.lnk C:\Users\Bob\Desktop\ASUS\System tool\Power4Gear Hybrid.lnk C:\Users\Bob\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Users\Bob\AppData\Roaming\Skype\My Skype Received Files\Bandicam.lnk C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób analizę urządzenia E:\ za pomocą programu UsbFix z opcji Listing oraz Research. Dostarcz raport z tego działania. 4. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
1. Przeprowadź skanowanie za pomocą Malwarebytes, dla wszystkich wyników zastosuj opcję przenieś do kwarantanny. 2. Wygeneruj nowe raporty FRST.
-
Przybywające infekcje po włączeniu podejrzanego pliku
Miszel03 odpowiedział(a) na Verac temat w Dział pomocy doraźnej
Praktycznie nic się nie przywróciło z infekcji. Drobniutka poprawka: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SteelSeries\SteelSeries Engine 3\Uninstall SteelSeries Engine 3.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\skrót305627793764937439\skrót.docx.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Napisz czy występują jeszcze jakieś problemy. -
Problem z Windows Defenderem. Nie można zainicjować aplikacji: 0x80070006
Miszel03 odpowiedział(a) na ocios temat w Dział pomocy doraźnej
Sama usługa została pomyślnie odbudowana, spróbuj wejść w Tryb awaryjny Windows i zmień nazwę folderu C:\Windows\SoftwareDistribution np. na C:\Windows\SoftwareDistribution.old. Sprawdź czy nastąpiła poprawa. To problem chyba po stronie aplikacji, a nie Twojej. -
Dostarcz raporty z tych działań oraz zestaw logów z narzędzia Farbar Recovery Scan Tool.
-
Komputer zainfekowany Ludashi oraz Kuaizip
Miszel03 odpowiedział(a) na adrianho4 temat w Dział pomocy doraźnej
Pomyliłem ścieżki dostępu, ale już trudno, bo po programie i tak zostały tylko resztki. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Users\ggg\AppData\Local\UCBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Program Files (x86)\Enigma Software Group Task: {44E47B90-F1B6-487F-B8D7-17CF3B0E695C} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego pliku Fixlog.txt). Podsumuj obecną sytuację. -
Problem z samoinstalującym się wirusem
Miszel03 odpowiedział(a) na xkanmuru temat w Dział pomocy doraźnej
OK. Dziękuję i wzajemnie! -
Problem z Windows Defenderem. Nie można zainicjować aplikacji: 0x80070006
Miszel03 odpowiedział(a) na ocios temat w Dział pomocy doraźnej
Kliknij: Windows + R > services.msc > odnajdź usługę Windows Defender > ustaw uruchamianie na tryb Automatyczny > Zresetuj komputer > Sprawdź rezultaty > Działa > Idziesz dalej z krokami. Nie działa > poinformuj mnie o tym. -
W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych wpisów oraz szczątek po przeglądarce FireFox. Korzystasz z rozwiązania firmy Qihoo, więc pozwolę sobie zacytować fragment z tematu picasso: Qihoo - Z firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. Pod ocenę indywidualną czy produkt jest godny zaufania. Jeśli chodzi o problem z siecią to problem nie na miarę mojej specjalizacji, najlepiej to poczekaj na moderatora tego działu, czyli DawidS28.
-
Problem z Windows Defenderem. Nie można zainicjować aplikacji: 0x80070006
Miszel03 odpowiedział(a) na ocios temat w Dział pomocy doraźnej
Ja podałem to awaryjnie, bo nie pamiętam jak przebiega deinstalacja każdej przeglądarki (a powinienem! ) OK. Jak chcesz, teraz Firefox powinien działać lepiej. Usługą Windows Defender jest kompletnie zdewastowana, praktycznie jej nie ma, więc nic dziwnego, że się nie uruchamia i zwraca błąd. Rekonstrukcja: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. Zresetuj system. 2. Uruchom SystemLook i oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0 /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Zrób też nowy raport z Farbar Service Scanner. 4. Sprawdź czy Windows Defender już działa. -
Komputer zainfekowany Ludashi oraz Kuaizip
Miszel03 odpowiedział(a) na adrianho4 temat w Dział pomocy doraźnej
SpyHunter jest programem wątpliwej reputacji, cytuję z tematu picasso: To jak postąpisz to Twoja decyzja. W raportach widoczne infekcji adware / PUP, od razu przechodzimy do działań. 1. Wejdź do folderu C:\Program Files (x86)\UCBrowser i spróbuj z niego uruchomić deinstalator (uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [GrpConv] => grpconv -o HKLM\...\RunOnce: [wd] => C:\Windows\Temp\g5561.tmp.exe [252416 2016-12-28] () HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2169502771-1325052205-2191854498-1000\Software\Microsoft\Internet Explorer\Main,Start Page = OPR Extension: (Fast search) - C:\Users\ggg\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-25] S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X] S3 dtldrvhelp; \??\c:\program files\safiplayer\dtldrvhelp64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku 2016-12-25 02:40 - 2016-12-25 02:40 - 7316480 _____ () C:\Users\ggg\AppData\Roaming\agent.dat 2016-12-25 02:39 - 2016-12-25 02:39 - 0140288 _____ () C:\Users\ggg\AppData\Roaming\Installer.dat 2016-12-25 02:40 - 2016-12-25 02:40 - 0018432 _____ () C:\Users\ggg\AppData\Roaming\Main.dat C:\Windows\Temp\g5561.tmp.exe C:\ProgramData\cis7407.exe C:\ProgramData\cmdres.dll Task: {4F09A7B6-FE78-4979-9A33-C4E06D43EAED} - System32\Tasks\gggDecompensatingFodderingV2 => Rundll32.exe HijackerSupernova.dll,main 7 1 Task: {5DEE1CE0-2959-4993-942D-489A61EB6E58} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {C48182D4-37BC-4FD8-BD21-38D7610F4AA8} - System32\Tasks\59548362d1t1795256 => Rundll32.exe "C:\ProgramData\59548362d1t1795256\59548362d1t1795256.dll",DMT ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=SD0H20014L1TH55103RX_LITEONLDH-256V2S&tm=1449317201 ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ggg\AppData\Local\Mozilla C:\Users\ggg\AppData\Roaming\Mozilla C:\Users\ggg\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.