Miszel03

W raportach nie widać jawnej infekcji, działania poboczne: kasacja polityk grup, pustych wpisów w harmonogramie zadań oraz martwej usługi. Na wszelki wypadek przeprowadzimy skanowanie programem HitmanPro. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HWiNFO32; \??\C:\Users\MRC\AppData\Local\Temp\HWiNFO64A.SYS [X] Task: {6835AC8A-C7F4-48B1-BFE0-EBB244E0B826} - \AutoKMS -> Brak pliku Task: {FA75C709-6C6D-4DC6-9AE0-82A6096BB360} - \USER_ESRV_SVC_QUEENCREEK -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja szczątek po programach (głównie po przeglądarce FireFox). Druga sprawa: w systemie działają dwa oprogramowania zabezpieczające - może to spowodować korozję. Jeśli chodzi o usługę Windows Update to przyczyn może być mnóstwo i to kompletnie pozainfekcyjnch. Wyłącz zaporę systemową oraz oprogramowania zabezpieczające i dopiero spróbuj pobrać aktualizację. Usługi nie sprawdzam, bo to raczej nie tam siedzi problem.

Wesołych Świąt!

Pendriva nie podpinaj pod żadnym pozorem do innych komputerów, bo je zarazisz. Potem go będziemy leczyć. System jest mocno zainfekowany wirusem Brontok. To są właśnie skutki nie posiadania żadnego oprogramowania antywirusowego, a przecież wystarczył by darmowy Avast... Przejdź do trybu awaryjnego (kliknij F8 przed startem systemu). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus-3444] => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe [43319 2014-10-19] () HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2014-10-19] () AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*.* HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe CMD: dir /a C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ad. 1 Nie, wszystko to jest wytłumaczalne. Informacje w spoilerze. Ad. 2 Patrz do spoileru, to normalne, że program został zmodyfikowany. Ad. 3 Najpierw musiało by raczej dojść do infekcji, a dopiero potem do włamania. Ad. 4 To jest technicznie nie możliwe, przecież kabel nie ma żadnej pamięci. Ad. 5 Nie mógł. Ad. 6 Nie wystarczy ani IP, ani adres MAC. Ad. 7 Są różne techniki analizowania pod kątem włamania, ale w Twoim przypadku jest to zbędne. Mówię: nie wpadaj w paranoje.

Wygląda to już OK. Czy problem ustąpił?

W raportach brak oznak infekcji, w spoilerze działania poboczne (raczej nie mające związku z problemem): kasacja szczątek po przeglądarce FireFox oraz martwej usługi. Temat przenoszę do działu Windows 10.

Zostały tylko szczątki po tym adware, reklama uruchamia Ci się dlatego ponieważ w harmonogramie zadań jest wpis za to odpowiedzialny. Po za tym działania kosmetyczne: kasacji pustych skrótów LNK, wpisów. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B0A13974D-0286-4AD8-B6F9-6DBF2B952C87%7D&gp=811041 CHR DefaultSearchKeyword: Default -> mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} Task: {9DABF0A9-53DD-4730-8337-FD7A6411DEE9} - System32\Tasks\InternetEC => Firefox.exe hxxp://su-news.ru/waysm C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\Mesajah feat. Grizzlee - Ten kraj.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\mesajah - tylko raz dane.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\mesajah - jest ładna i cwana.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\Mesajah - 02 Brudna Prawda BRUDNA PRAWDA 2013.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\12. Mesajah - Lepsza Połowa.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\03. Mesajah - Ludzie Roboty feat Abradab.lnk C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\01. Mesajah - Ostateczny Sąd.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty zostały wygenerowane przestarzałą wersją narzędzia Farbar Recovery Scan Tool (Wersja marca br.). Wygeneruj nowe raporty używając najnowszej wersji FRST - KLIK.

Raporty wygenerowane na złych ustawieniach (skan BCD oraz MD5 sterowników jest zbędny bez wyraźnej potrzeby), dlatego wykonaj nowe wg niżej podanego wzorca. Logi OTL kasuję, bo to narzędzie przestarzałe, bez wsparcia autora.

System jest bardzo nowocześnie zainfekowany przez adware, widać wykorzystanie nowych tricków (m.in prefabrykowana przeglądarka FireFox, adware modyfikujące usułguę Themes tym samym uszkadzając kompozycję Aero). Wszystko to da się łatwo wyleczyć, więc od razu zaczynamy. 1. Przez panel sterowania odinstaluj: amuleC 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: IFEO\MRT.exe: [Debugger] C:\Windows\TEMP\weaEF50.tmp\Gubed.exe -Yrrehs R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [524800 2016-12-15] () [brak podpisu cyfrowego] R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]2016-12-01 11:02 - 2016-10-28 13:37 - 00000000 ____D C:\ProgramData\ttff R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [106160 2016-12-08] () C:\Program Files (x86)\Firefox FirewallRules: [{559BF5D9-860E-48CA-8A58-D0F35DF1124F}] => C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe FirewallRules: [{9672D65A-5D9C-4C95-9D20-1769C4111470}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{FB14C3FA-891D-4707-84AC-B47625365C27}] => C:\Program Files (x86)\Firefox\Firefox.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Abi\AppData\Local CMD: dir /a C:\Users\Abi\AppData\LocalLow CMD: dir /a C:\Users\Abi\AppData\Roaming Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W obecnym profilu FireFox znajduję się adware. Założymy nowy czysty profil. Kliknij klawisz z flagą Windows + R > wklej komendę C:\Program Files\Mozilla Firefox\firefox.exe -p > skasuj wszystkie profile > załóż nowy. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wykrył resztki tego programu i je usnął. Problem nie dotyczy infekcji, więc temat przenoszę do działu Windows 7.

Raporty teraz wyglądają w porządku, działania przeprowadziłeś poprawnie. Powiedz mi proszę co jeszcze wg Ciebie jest do zrobienia? Jak wygląda sytuacja systemu z Twojej strony?

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów w harmonogramie zadań, usług oraz szczątek po programach (głównie po przeglądarce FireFox). Temat przenoszę do działu Windows 10.

Zniknęły Ci tylko z skróty prowadzące do przeglądarek, a nie przeglądarki. Możesz je z powrotem utworzyć. FireFox utworzy ci nowy po wykonaniu pkt. 2. Zaś do Google Chrome: PPM na pulpit > Nowy > Skrót > Element docelowy: C:\Program Files\Google\Chrome\Application\chrome.exe > Dalej > Nazwij skrót np. Google Chrome > Zakończ. Poprawkowe działania dot. usunięcia adware: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {3570A125-FE87-4A50-91A8-C2EA3A7B9B5E} - System32\Tasks\{506C0E67-6345-4EA3-A567-60DBC57428CC} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {EE45D21F-507D-47AE-A54B-A6B8E3237663} - System32\Tasks\{13EBBBE2-127C-4230-8E14-5D1EAD19B8E9} => pcalua.exe -a "C:\Users\USER\Local Settings\Application Data\Bundled software uninstaller\biclient.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" FirewallRules: [{C74D53B1-C809-435C-9D7A-23D91C013CE8}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [{F7E54260-A605-4CA8-A1DD-336920EA2877}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F3D342D1-63D3-450A-881D-308719CCD4F7}] => C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeinstaluj na czysto przeglądarkę Mozilla FireFox - KLIK (wykonujesz punkt Usuwanie FireFoksa oraz Usuwanie danych osobistych i ustawień FireFoksa). 3. Zrób log FRST (już bez Addition i Shortcut).

Całkowicie źle przeprowadziłeś pkt. 1, w skutek czego skrypt w ogóle się nie wykonał. Zawartość skryptu nie ma być w jeden linijce, lecz tak jak jest to zaprezentowane w specjalnym tagu Noparase. 1. Przeprowadź jeszcze raz pkt. 1. Teraz przesyłam Ci już gotowy plik Fixlist.txt - Twoim zadaniem jest go tylko umieścić na pulpicie (ale przedtem pamiętaj, aby skasować stary, zły Fixlist.txt). Dopiero gdy plik będzie na pulpie uruchom FRST i kliknij w Napraw (Fix), czekaj cierpliwie, nie przerywaj tego działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST (czyli w Twoim przypadku na pulpicie) powstanie plik fixlog.txt. Fixlist.txt 2. W AdwCleaner jeszcze raz przeprowadź skanowanie, ale po nim kliknij w Oczyść. Dostarcz raport z tego działania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic gorszego nie mógł zrobić. Przekaż znajomemu, żeby się z tym zapoznał - KLIK. Omówienie pomocy: Pomoc na miarę tego działu, czyli dezynfekcja systemu pod względem infekcji i kosmetycznego stanu systemu. Kierownictwo do odpowiedniego działu, w którym pomogą rozwiązać problem nie dot. infekcji, jeśli ja nie będę w stanie. W raportach widoczne infekcje adware oraz puste usługi / wpisy, trzeba również pozbyć się resztek po przeglądarce FireFox. 1. Przez panel sterowania odinstaluj: Jungle Net (Adware) key-find uninstall (Adware) AVG SafeGuard toolbar (zbędnik) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-160238566-1350474344-338097376-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-160238566-1350474344-338097376-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileTrans\DriverInstall.exe" [X] CHR Extension: (SnapMyScreen) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnacmlfckijnmogihjeaojfnfiplhhpj [2016-12-13] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kasia\AppData\Local\Mozilla C:\Users\Kasia\AppData\Roaming\Mozilla C:\Users\Kasia\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Jeśli skrót nie zadziała, spróbujesz uruchomić Google Chrome przez tą ścieżkę C:\Program Files\Google\Chrome\Application\Chrome.exe Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj SnapMyScreen oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Spróbuj odinstalować ZoneAlarm z poziomu trybu awaryjnego (kliknij F8 przed startem systemu) i zainstalować ją jeszcze raz (oczywiście pobierając instalator ze strony producenta, a nie np. z dobrych programów).

FRST domyślnie generuje pliki FRST oraz Addition, lecz na naszym forum wymagamy jeszcze trzeciego raportu uzupełniającego Shortcut. Aby go wygenerować musisz zaznaczyć opcję Shortcut w interfejsie FRST i kliknąć w przycisk Skanuj. P.S: przecież podlinkowałem Ci w wyrazie FRST w moim pierwszym poście dokładną instrukcję wykonania raportów (KLIK). Bez raportów mogę załatwić tylko sprawę poboczną: Pierwsze słyszę, że są jakieś wątpliwości dot. tego programu i raczej w nie wątpię. Uważam, że jest on godny zaufania i spokojnie można go używać.

To nie jest problem na miarę tego działu, więc temat przenoszę do działu Windows 7. Dziękujemy!

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja pustych wpisów / usług oraz szczątek po programach (głownie po przeglądarce FireFox). Temat przenoszę do działu Pozostałe zagadnienia komputerowe.

Wygląda to już OK. Niestety, wciąż w przeglądarce Google Chrome widzę poniższą modyfikację adware (próbowałem ją usunąć poprzez FRST, ale bez skutku). CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp" Kompleksowo przeinstaluj przeglądarkę Google Chrome (jeśli jest Ci to bardzo nie na rękę to napisz będziemy to leczyć inaczej). Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Zrób log FRST (bez Addition i Shortcut).

W raportach widoczne ślady mogące wskazywać, że w przeszłości była tu poważna infekcji Rootkit omijająca weryfikacje integralności poprzez dodane niestandardowego wpisu w BCD, tym samym włączając tryb tzw. "testu". Infekcją ładuję również ukryty, niepodpisany sterownik, którego tutaj na szczęście brak, więc pozostaję tylko usunąć modyfikacje BCD, szczątki po programach (głownie po przeglądarce FireFox) oraz puste wpisy / usługi oraz skróty LNK. Moja pomoc ogranicza się tylko do ogarnięcia systemu od strony infekcji, więc jeśli po moich zaleceniach sytuacja ze stabilnościa systemu nie ulegnie zmianą to temat ląduje w dziale Windows 7. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2629472346-4294126388-1045716372-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1421067010&from=kmp&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1425413868&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://www.istartsurf.com/?type=hppp&ts=1425413893&from=smt&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1425665864&from=cor&uid=TOSHIBAXTHNSNJ128GCSU_Y47S10CVTB3W10CVTB3W","hxxp://do-search.com/?type=hp&ts=1430071217&from=cor&uid=ST1000LM014-1EJ164_W380FCGTXXXXW380FCGT","?type=hppppp","hxxp://www.gazeta.pl/0,0.html?p=190","hxxp://www.trotux.com/?z=64d444ec432f98827ebe090g4zcqdmez3b3q5b5b9q&from=ftp&uid=INTELXSSDSC2BW120A4_CVDA503503ER1207GN&type=hp" S3 catchme; \??\C:\ComboFix\catchme.sys [X] testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\config.ini.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stellarium\Last run log.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Critic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ActivePerl 5.24.0 Build 2400 (64-bit)\Perl Package Manager.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\janou\AppData\Local\Mozilla\Firefox C:\Users\janou\AppData\Roaming\Mozilla\Firefox C:\Users\janou\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wygląda to już OK, a skoro piszesz, że problem ustąpił to będziemy kończyć. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath C:\Users\Hubert\Desktop\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia\Uninstall Tibia.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać żadnych nowych raportów, ani wynikowych. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz skasuj punkty przywracania systemu - KLIK / KLIK. Zaktualizuj ważne programy - KLIK. Przeczytaj obszerny temat dot. uniknięcia nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

Na przyszłość: jeśli proszę o skan to proszę o skan, a nie o skan i dezynfekcje, ale niech już będzie. Wygląda to już w porządku, napisz jak wygląda sytuacja z Twojej strony. Skasuj ręcznie ten pusty skrót: C:\Users\Lenovo\Desktop\Kontynuuj instalację Windows 10 - instalator.lnk