Miszel03

Według tych raportów AdwCleaner nie wykrywa już żadnych infekcji. Wczoraj AdwCleaner wykrył tylko poniższy element i został on już usunięty, bo aktualnie jest nie wykrywany. C:\Users\kimi\AppData\Roaming\Mozilla\Firefox\Profiles\knu1xkvg.default\extensions\anttoolbar@ant.com Podsumujmy: w systemie brak aktywnej infekcji, lecz Tobie działa niepoprawnie playlista oraz minimalizacja przeglądarki. Nie specjalizuję się w rozwiązywaniu problemów pozainfekcyjnych, ale może spróbuj przeinstalować przeglądarkę na której występuje omawiany problem.

Fix pomyślne wykonany. System nie jest zainfekowany, więc to problem nie na miarę tego działu. Temat przenoszę do działu pozostałe zagadnienia komputerowe.

Wejdź w C:\AdwCleaner i dostarcz mi wszystkie raporty. Teraz masz te dwa programy zainstalowane, rozumiem, że gdy je odinstalujesz to one samoczynnie znowu się zainstalują? Opisz to jakoś bardziej. Dlaczego uważasz, że to jest spowodowane infekcją? Może być masa przyczyn i to kompletnie pozainfekcyjnych. W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja polityk grup, pustych wpisów oraz martwych usług. Plik Hosts resetuje, ze względu na jego szkodliwą zawartość.

Jeśli chodzi o infekcję to nie było nic oprócz wspomnianej przeze mnie wcześniej prefabrykowanej przeglądarki. Nie działająca usługa Centrum zabezpieczeń była spowodowana tylko złymi ustawieniami. Jeśli chodzi o sieć to tutaj mogła być masa przyczyn i to kompletnie pozainwestycyjnych. Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj również ważne programy - KLIK. Przeczytaj jak uniknąć nieciekawych przygód z adware - KLIK.

Podsumuj obecną sytuację.

Przepraszam za tak późna odpowiedź. Dostarczone przez Ciebie raporty mają już 4 dni, więc są raczej nieaktualne. Wygeneruj nowy zestaw raportów i go zaprezentuj.

Na przyszłość: nie używaj programu ComboFix na własną rękę - rób to tylko i wyłącznie pod nadzorem osoby wykwalifikowanej. Więcej tutaj: KLIK. Wynik z AdwCleaner nadaję się do usunięcia. W raportach brak oznak infekcji, został tylko ślad po adware, czyli modyfikacja polityk grup (choć może to być również sprawka użycia ComboFix). Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3816386762-832536888-907195371-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowego zestawu logów FRST, ani raportu wynikowego (pliku Fixlog.txt). Odinstaluj ComboFix oraz usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK / KLIK.

Usługa Centrum Akcji jest aktualnie całkowicie wyłączona, a jej typ uruchamiana został zmieniony. Do roboty od strony infekcji została kasacja szczątek z rejestru po prefabrykowanej przeglądarce. 1. Klawisz z flagą Windows + R i w polu Uruchom wklep services.msc. Na liście usług dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\crxbro Browser DeleteKey: HKLM\SOFTWARE\Wow6432Node\crxbro DeleteKey: HKU\S-1-5-21-3823913081-2609085584-2459951151-1000\Software\Classes\crxbroHTM EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz raport wynikowy, czyli plik Fixlog.txt oraz podsumuj obecną sytuację. Nie musisz już robić nowego zestawu logów FRST.

Błąd sugeruję, że wpisałeś tylko komendę C:\Program, a nie C:\Program Files\Mozilla Firefox\firefox.exe -p, sprawdź to. Idziemy dalej: usługa Themes wygląda już w porządku, w raportach (prócz FireFox) wszystko wygląda OK. 1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: C:\Users\Abi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: dir /a C:\Users\Abi\AppData\Roaming\Mozilla\Firefox\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zniknął Ci skróty przeglądarki FireFox - możesz utworzyć sobie nowe przez PPM. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tym zajmie się ktoś z działu Sieci, na razie priorytet to dezynfekcja systemu. W raportach widać tylko prefabrykowaną przeglądarkę, podszywającą się pod Google Chrome. Reszta to działania czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK oraz martwej usługi. Mam pytanie: skąd wzięła się poniższa linijka w logu FRST? W FRST raczej nie ma takiej detekcji. C:\FRST\FRST64.exe => Win32/Suweezy? - pomyślnie przeniesiono 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\crxbro Browser HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = U3 uxldapow; \??\C:\Users\pc\AppData\Local\Temp\uxldapow.sys [X] C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\HP Taskbar Process TP.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Metin2 Ravia.eu\Uruchom Grę.lnk C:\Users\pc\Desktop\97\Metin2 Nawie.lnk C:\Users\pc\Desktop\nagrane juz\doris\kom2\kom 043 — skrót.lnk C:\Users\pc\Desktop\pen\miasto\peryferie.mdb.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\pc\AppData\Local\Mozilla C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ustaw dowolną przeglądarkę jako domyślną (proponuję ustawić Google Chrome - KLIK). 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). crxbro Browser W tym samym katalogu skąd uruchamiano FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Zrób log z Farbar Service Scanner.

OK. Temat rozwiązany ze strony infekcji. Temat kwalifikuje się do działu Sieci.

Skoro jest już wszystko OK, to kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Moment, a jak z pkt. 2? Coś zostało wykryte?

Podsumuj obecną sytuację.

Pendrive jest zainfekowany. 1. W UsbFix (podpinając urządzenie F:\) uruchom opcję Clean. 2. Zrób i dostarcz nowy raport UsbFix z opcji Listing w celu oceny.

Zrób raportu z narzędzia UsbFix z opcji Listing - KLIK. Piszesz, że przywracałeś system i odzyskiwałeś pliki programem Recuva, więc to nic dziwnego, że widzisz tak stare pliki, które tak dawno usunąłeś. W raportach brak oznak infekcji, w spoilerze zadaje działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK, martwych usług oraz szczątek po programach (głównie po przeglądarce FireFox). Zalecam zainstalowane oprogramowania zabezpieczającego działającego w czasie rzeczywistym (sam Windows Defender na Windows 8 może nie wystarczyć) - KLIK.

W raportach brak oznak infekcji, w spoilerze działania poboczne, kosmetyka: kasacja pustych wpisów, skrótów LNK oraz martwych usług. Temat przenoszę do działu Windows 7.

Kończymy. Usuń narzędzia diagnostyczni / dezynfekcyjne (są bardzo często aktualizowane, więc jednorazowe) - KLIK.

To są prawidłowe procesy. Nie szkodliwe.

Zapomniałem zapytać wcześniej co w związku z tym zrobiłeś, jaką podjąłeś akcję w programie i czy możesz dostarczyć mi plik z raportem. W raportach nie widzę infekcji, choć są ślady mogące wskazywać na jej obecność w przeszłości. W skrypcie: kasacja pustych wpisów, ustawień polityk grup oraz szemranych obiektów z harmonogramu zadań. Na wszelki wypadek przeprowadzimy skan programem HitmanPro. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellExecuteHooks: Brak nazwy - {6477E65A-C5C0-11E6-8017-64006A5CFC35} - -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X] U3 pxldypow; \??\C:\Users\JAY\AppData\Local\Temp\pxldypow.sys [X] Task: {D35DA539-1875-480F-9F30-69CBA06AFA9C} - System32\Tasks\{F0E98C12-B005-465F-92E6-40C89BC84D40} => pcalua.exe -a C:\Users\JAY\AppData\Local\Temp\jre-8u101-windows-au.exe -d C:\windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {ED2C5AE2-6937-4083-9A8D-97116CCD1435} - System32\Tasks\280528962d6t6759868 => Rundll32.exe "C:\ProgramData\280528962d6t6759868\280528962d6t6759868.dll",DMT AlternateDataStreams: C:\ProgramData\Temp:0A8E2C33 [238] AlternateDataStreams: C:\ProgramData\Temp:73BDADA8 [234] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli natomiast nic nie wykryję to będziemy kończyć, a temat zostanie przeniesiony do działu Windows 7.

Brakuje 3 raportu uzupełniającego Shortcut. Uzupełnij go.

OK. Wcześniej używałeś narzędzia FRST, teraz możesz go już skasować, bo jest to narzędzia często aktualizowane, więc jednorazowe. Do tego działania użyj programu DelFix. Zaktualizuj również ważne programy - KLIK. W Twoim systemie pomimo zainstalowanego SP 1 może brakować sporej liczby aktualizacji, uruchom Windows Update i zaktualizuj system.

OK. Tak coś własnie myślałem, że pomyliłeś nazwy. Taskeng jest prawidłowym plikiem aparatu harmonogramu zadań. Plików czy procesów? To znaczna różnica.

Narzędzie OTL jest przestarzałe i nie posiada wsparcia autora, więc jest już nie używane. Dostarcz zestaw raportów z nowoczesnego narzędzia Farbar Recovery Scan Tool oraz raport z narzędzia GMER.

W takim razie to był wpis odpadkowy (to też widzę po raporcie z AdwCleaner). Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start. Dobrze wywnioskowałeś. Nie dostarczyłeś raporty wynikowego, czyli pliku Fixlog.txt