Skocz do zawartości

Miszel03

Moderatorzy
  • Postów

    2 329
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Miszel03

  1. OK. Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny. Jedziemy dalej z sprzątaniem: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) "DisableNotifications"= 0x0000000000 (0) "DoNotAllowExceptions"= 0x0000000000 (0) Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. 2. Uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero.
  2. Thanks Luuk, but it's also your birthday, so happy birthday and (for all user) good luck in 2017
  3. Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać. Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32 HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath 2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport z Farbar Service Scanner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  4. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [brak podpisu cyfrowego] R2 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [109056 2016-12-23] () [brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Gubed RemoveDirectory: C:\Program Files (x86)\Gubed_WMI RemoveDirectory: C:\Program Files (x86)\Firefox 2016-12-23 21:27 - 2016-12-27 12:33 - 00000000 ____D C:\Program Files (x86)\WinArcher FirewallRules: [{5145B3CC-166D-4AE2-A1D4-991BA844CB76}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{DC0EE9A9-BFF5-4994-9664-A01DE16608DF}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: DeleteQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files (x86)\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Przeskanuj system przez Malwarebytes' Anti-Malware i przedstaw raport wynikowy. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  5. Coś mi się wydaję, że Tryb Awaryjny również jest uszkodzony. W trybie normalnym uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.
  6. To jest dział, który zajmuję się leczeniem systemu pod kątem infekcji, a Tobie chyba nie dokończa o to chodzi (jeśli tak to napisz PW do mnie, albo do Rucka, a przeniesiemy temat do odpowiedniego działu na forum). Jeżeli jednak się mylę to dostarcz zestaw raportów FRST oraz GMER.
  7. Raporty zostały wygenerowane przy użyciu bardzo starej wersji narzędzia FRST (sprzed przeszło siedmiuset dni!). Pobierz nową wersję (KLIK) i jeszcze raz zrób nowy zestaw raportów.
  8. W raportach brak oznak infekcji. Czysto. Możesz podać link, tak będzie łatwiej.
  9. Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty.
  10. Miszel03

    Virus

    Polecamy się na przyszłość
  11. Miszel03

    Virus

    Raporty wyglądają już w porządku, a skoro piszesz, że problem ustąpił to będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK oraz zapoznaj się z tematem jak nie dać się oprogramowaniu typu adware / PUP - KLIK. Masz wszystko opisane na tej stronie: KLIK.
  12. Miszel03

    Virus

    W raportach widać już tylko szczątki po adware / PUP. Podany błąd sugeruje, że była tutaj infekcja, podstawiająca prefabrykowany profil / rozszerzenie do przeglądarki Google Chrome. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku U0 aswVmm; Brak ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {6566CA38-1877-4183-8ADC-91807A77773D} - \Driver Booster SkipUAC (Andrzej) -> Brak pliku Task: {BAFC3BEF-1058-4795-9C25-048BE16A4C30} - \{082BAA99-0040-47ED-8E00-5A1B7455D8F1} -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gwent [GOG.com]\Gwent.lnk C:\User\Andrzej\AppData\Local\kemgadeojglibflomicgfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Napisz czy problem ustąpił.
  13. Miszel03

    Virus

    Dostarczyłeś tylko 2 raporty z narzędzia Farbar Recovery Scan Tool, czyli FRST oraz ADDITION, a ma być jeszcze do tego raport SHORTCUT. Raport dodaj używając opcji Edytuj w poście.
  14. G DATA przeniosła do kwarantanny pliki ERUNT, który patrząc po MD5 i po nazwie nie jest szkodliwy - KLIK. 1. Przez panel sterowania odinstaluj: Popcorn Time (nie jestem pewny co do tej detekcji, więc jeśli program znasz i mu ufasz to możesz zostawić). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3865186189-997488633-1609009381-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku CHR StartupUrls: Profile 1 -> "hxxp://istart.webssearches.com/?type=hp&ts=1404513516&from=amt&uid=TOSHIBAXMK5055GSX_79RJS13JSXX79RJS13JS","hxxps://start.allianz.pl/","hxxps://www.google.pl/" Task: {0528E465-F2D0-4CD3-9B75-AA0A29C1127B} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku C:\Users\Bob\Desktop\Bob\AppData\Roaming\Microsoft\Word\662%20rodzic%20bez%20szpitala%2015%25304696493377610516\662%20rodzic%20bez%20szpitala%2015%25.doc.lnk C:\Users\Bob\Desktop\ASUS\System tool\ASUS InstantOn.lnk C:\Users\Bob\Desktop\ASUS\System tool\Power4Gear Hybrid.lnk C:\Users\Bob\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Users\Bob\AppData\Roaming\Skype\My Skype Received Files\Bandicam.lnk C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób analizę urządzenia E:\ za pomocą programu UsbFix z opcji Listing oraz Research. Dostarcz raport z tego działania. 4. Zrób skan za pomocą Hitman Pro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
  15. 1. Przeprowadź skanowanie za pomocą Malwarebytes, dla wszystkich wyników zastosuj opcję przenieś do kwarantanny. 2. Wygeneruj nowe raporty FRST.
  16. Praktycznie nic się nie przywróciło z infekcji. Drobniutka poprawka: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SteelSeries\SteelSeries Engine 3\Uninstall SteelSeries Engine 3.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Word\skrót305627793764937439\skrót.docx.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1 (Debug Log).lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash\Wrye Bash - Extra 1.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Napisz czy występują jeszcze jakieś problemy.
  17. Sama usługa została pomyślnie odbudowana, spróbuj wejść w Tryb awaryjny Windows i zmień nazwę folderu C:\Windows\SoftwareDistribution np. na C:\Windows\SoftwareDistribution.old. Sprawdź czy nastąpiła poprawa. To problem chyba po stronie aplikacji, a nie Twojej.
  18. Miszel03

    Virus

    Dostarcz raporty z tych działań oraz zestaw logów z narzędzia Farbar Recovery Scan Tool.
  19. Pomyliłem ścieżki dostępu, ale już trudno, bo po programie i tak zostały tylko resztki. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Users\ggg\AppData\Local\UCBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Program Files (x86)\Enigma Software Group Task: {44E47B90-F1B6-487F-B8D7-17CF3B0E695C} - System32\Tasks\SpyHunter3 => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter3.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego pliku Fixlog.txt). Podsumuj obecną sytuację.
  20. Kliknij: Windows + R > services.msc > odnajdź usługę Windows Defender > ustaw uruchamianie na tryb Automatyczny > Zresetuj komputer > Sprawdź rezultaty > Działa > Idziesz dalej z krokami. Nie działa > poinformuj mnie o tym.
  21. W raportach brak oznak infekcji, w spoilerze działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, martwych wpisów oraz szczątek po przeglądarce FireFox. Korzystasz z rozwiązania firmy Qihoo, więc pozwolę sobie zacytować fragment z tematu picasso: Qihoo - Z firmą są związane liczne kontrowersje oraz afera z manipulowaniem wyników w testach. Ponadto, raporty na temat reklam produkowanych przez program. Pod ocenę indywidualną czy produkt jest godny zaufania. Jeśli chodzi o problem z siecią to problem nie na miarę mojej specjalizacji, najlepiej to poczekaj na moderatora tego działu, czyli DawidS28.
  22. Ja podałem to awaryjnie, bo nie pamiętam jak przebiega deinstalacja każdej przeglądarki (a powinienem! ) OK. Jak chcesz, teraz Firefox powinien działać lepiej. Usługą Windows Defender jest kompletnie zdewastowana, praktycznie jej nie ma, więc nic dziwnego, że się nie uruchamia i zwraca błąd. Rekonstrukcja: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. Zresetuj system. 2. Uruchom SystemLook i oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0 /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Zrób też nowy raport z Farbar Service Scanner. 4. Sprawdź czy Windows Defender już działa.
  23. SpyHunter jest programem wątpliwej reputacji, cytuję z tematu picasso: To jak postąpisz to Twoja decyzja. W raportach widoczne infekcji adware / PUP, od razu przechodzimy do działań. 1. Wejdź do folderu C:\Program Files (x86)\UCBrowser i spróbuj z niego uruchomić deinstalator (uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [GrpConv] => grpconv -o HKLM\...\RunOnce: [wd] => C:\Windows\Temp\g5561.tmp.exe [252416 2016-12-28] () HKU\S-1-5-18\...\Run: [] => 0 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2169502771-1325052205-2191854498-1000\Software\Microsoft\Internet Explorer\Main,Start Page = OPR Extension: (Fast search) - C:\Users\ggg\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-25] S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X] S3 dtldrvhelp; \??\c:\program files\safiplayer\dtldrvhelp64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku 2016-12-25 02:40 - 2016-12-25 02:40 - 7316480 _____ () C:\Users\ggg\AppData\Roaming\agent.dat 2016-12-25 02:39 - 2016-12-25 02:39 - 0140288 _____ () C:\Users\ggg\AppData\Roaming\Installer.dat 2016-12-25 02:40 - 2016-12-25 02:40 - 0018432 _____ () C:\Users\ggg\AppData\Roaming\Main.dat C:\Windows\Temp\g5561.tmp.exe C:\ProgramData\cis7407.exe C:\ProgramData\cmdres.dll Task: {4F09A7B6-FE78-4979-9A33-C4E06D43EAED} - System32\Tasks\gggDecompensatingFodderingV2 => Rundll32.exe HijackerSupernova.dll,main 7 1 Task: {5DEE1CE0-2959-4993-942D-489A61EB6E58} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {C48182D4-37BC-4FD8-BD21-38D7610F4AA8} - System32\Tasks\59548362d1t1795256 => Rundll32.exe "C:\ProgramData\59548362d1t1795256\59548362d1t1795256.dll",DMT ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=SD0H20014L1TH55103RX_LITEONLDH-256V2S&tm=1449317201 ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\ggg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ggg\AppData\Local\Mozilla C:\Users\ggg\AppData\Roaming\Mozilla C:\Users\ggg\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
×
×
  • Dodaj nową pozycję...