Miszel03

Jest już w porządku z wyjątkiem tego (czyli śmieciowej wyszukiwarki): CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32 Można by się bawić w odczytywanie preferencji itd. ale zdecydowanie szybciej będzie Ci na czysto przeinstalować przeglądarkę Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Skasuj folder C:\AdwCleaner po czym na nowo pobierz i uruchom AdwCleaner'a.

1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść (wyniki zweryfikowane, nadają się do usunięcia). Jak poprzednio dostarcz raport z tego działania. 2. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut.

On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić. Pozostałe pliki skasuj ręcznie. Gdzie ten raport? Napisz jak oceniasz obecną sytuacje.

Brak raportu z przeprowadzenia dezynfekcji przez AdwCleaner'a - dostarcz go. W systemie / raportach jak już wcześniej wspominałem widoczne liczne adware (m.in SearchesToYesbnd, Nosemay, nicesearches, nuesearch). Przypuszczalnie nie działa Ci również kompozycja Aero, jest to wynik infekcji. Od razu przechodzimy do działań bardziej ręcznych, ale i tak wrócę jeszcze do czyszczenia automatami. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva3d10] => C:\Users\MAG\AppData\Roaming\cdptcli\aeevispl.exe [524288 2015-12-04] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advavel9] => C:\Users\MAG\AppData\Roaming\cemaider\aeevispl.exe [524288 2016-01-12] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp10_1] => C:\Users\MAG\AppData\Roaming\certtenc\amsiices.exe [524288 2016-02-05] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsncapi] => C:\Users\MAG\AppData\Roaming\capicca\advaecsp.exe [524288 2016-02-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsn3d32] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnGSM7] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnSCII] => C:\Users\MAG\AppData\Roaming\catsmapi\advabcd.exe [524288 2016-03-09] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnd3d9] => C:\Users\MAG\AppData\Roaming\Certwmdm\advaperf.exe [524288 2016-04-14] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp0_43] => C:\Users\MAG\AppData\Roaming\cfgmdiag\amsikbox.exe [524288 2016-05-10] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpfCdp] => C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe [524288 2016-06-14] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpclen] => C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe [524288 2016-07-12] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpider] => C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe [524288 2016-07-15] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [aeevtlib] => C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe [524288 2016-09-20] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [amsilder] => C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe [524288 2016-09-24] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsntnet] => C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe [524288 2016-10-17] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advad3d9] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva8thk] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advadxof] => C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe [524288 2016-11-09] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advaider] => C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe [524288 2016-12-06] () C:\Users\MAG\AppData\Roaming\cdptcli C:\Users\MAG\AppData\Roaming\cemaider C:\Users\MAG\AppData\Roaming\certtenc C:\Users\MAG\AppData\Roaming\capicca C:\Users\MAG\AppData\Roaming\catsosys C:\Users\MAG\AppData\Roaming\catsmapi C:\Users\MAG\AppData\Roaming\Certwmdm C:\Users\MAG\AppData\Roaming\cfgmdiag C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => Brak pliku IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\SearchesToYesbnd\_ALLOWDEL_27bfc\Gubed.exe -Yrrehs C:\Program Files (x86)\SearchesToYesbnd GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2999985383-601964839-3280780558-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> {FA9EC097-C43E-4767-866A-E31FA5272B20} URL = Edge HomeButtonPage: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> hxxp://www.nuesearch.com/?type=hp&ts=1465910606&z=37c7bcedfe0fcd79fcd0425g1zfq5w1t1g7e5q4e5z&from=wpm0614&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF DefaultSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice FF SearchEngineOrder.1: Firefox\Firefox\Profiles\2263ujb8.default -> nice FF SelectedSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [622080 2016-11-29] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]S2 NosemayP; C:\ProgramData\Nosemay\Nosemay.exe [400264 2016-05-30] () S2 NosemayU; "C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe" [X] C:\Program Files (x86)\Nosemay C:\ProgramData\Nosemay Task: {1F357729-9984-4DAB-87F8-E84F39AF8EE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3DD526DA-F673-45CE-9002-14D1BC99DBD4} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {4E26A63E-55E5-48A4-9E07-B46D50710A89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {4E77BBE4-2C07-47A4-B58F-2A23B9C6D037} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {52A92279-2FDA-4755-AAE5-DC6FE44B503B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7617830F-3E2E-4E14-BC84-8D8F0FDDD5BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7E519C3A-0D56-4C31-9AE4-5B2FBBD9429D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {85097416-4841-491B-B87F-ABC07F723D5B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8BDB08BD-4D81-4A04-9149-8E9C34024CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1314326-5C03-448B-B853-3FA02E67EE70} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B1AD7971-CD5B-4CA2-AD61-92C25DD1FE39} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {D03E6501-354B-426D-9A6E-FAE0898D99BC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D60BA628-7A6A-4E69-AB00-993837E0D6EB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.) C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Coldjob C:\Users\MAG\AppData\Local\Coldjob C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\MAG\AppData\Local CMD: dir /a C:\Users\MAG\AppData\LocalLow CMD: dir /a C:\Users\MAG\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Użyj >> Junkware Removal Tool Po uruchomieniu: Postępuj zgodnie z instrukcją wyświetlaną w programie. Gdy skanowanie oraz usuwanie zakończy się, uruchomi się plik z raportem. Raport wkleisz na wklej.org lub załączysz jako załącznik na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

OK. Te wyniki należny zweryfikować - załóż temat w dziale Hardware.

W raport widoczna sporo ilość infekcji adware / PUP, od razu przechodzimy do działań. 1. Przez panel sterowania odinstaluj: Reimage Repair WarThunder 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {53484938-98A7-4F6D-8297-DD7BE6D2EC86} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {69F2799D-9EF1-4305-B274-38AC178ABEDA} - System32\Tasks\InternetBE => Chrome.exe hxxp://inform-world.ru/watch Task: {DED54E52-A35B-4FA2-B976-1F272BF59D20} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Users\Dejw\Desktop\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811035" ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411 HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041 SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041 BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Dejw\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-04] (Mail.Ru) C:\Program Files (x86)\YTDownloader C:\Program Files (x86)\ppt CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32 U0 aswVmm; Brak ImagePath 2016-12-04 17:52 - 2016-12-05 20:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru 2016-12-04 17:49 - 2016-12-05 20:54 - 00000000 ____D C:\Users\Dejw\AppData\Local\Mail.Ru 2016-12-04 17:49 - 2016-12-04 18:52 - 00000000 ____D C:\ProgramData\Mail.Ru C:\Users\Dejw\Desktop\Internet Download Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dejw\AppData\Local\Mozilla C:\Users\Dejw\AppData\Roaming\Mozilla C:\Users\Dejw\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Programdata\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dejw\AppData\Local CMD: dir /a C:\Users\Dejw\AppData\LocalLow CMD: dir /a C:\Users\Dejw\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Programy pomyślnie odinstalowane, wyniki AdwCleaner zweryfikowane, wieć możesz przejść do akcji dezynfekcji w tym programie. 1. Uruchom AdwCleaner kliknij Skanuj, a następnie Oczyść, podobnie jak poprzedni dostarcz raport z tego działania. 2. Wygeneruj nowe raporty FRST (bez GMER).

W raportach brak oznak infekcji, podobny temat na forum: KLIK. Na wszelki wypadek: przeskanuj system swoim oprogramowaniem antywirusowym ESET oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie ewentualne znalezione przez nie nagrożenia poddaj kwarantannie i dostarcz raport z tych skanować (o ile coś zostanie wykryte).

Dostarcz raporty systemowe FRST. Problem prawdopodobnie również w Twoim przypadku tworzy adware, przykłady z forum: KLIK, KLIK.

Na razie nie podaję żadnych innych działań prócz deinstalacji produktów adware i skanowania systemu pod ich kątem. W systemie jest ogromne wysypisko śmieci, więc do pewnego momentu będę posługiwać się automatami. 1. Przez panel sterowania odinstaluj: amuleC amuleC aMuleCustom WinZip YAC(Yet Another Cleaner!) Uncheckit qksee 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 3. Wygeneruj nowe raporty FRST (bez GMER).

Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd) Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. W skrypcie kosmetyka: kasacja pustych wpisów rejestru, CLSID oraz modyfikacji polityk grup. Ogólnie: brak jawnej infekcji, wyniki Malwarebytes wymagają dodatkowej weryfikacji poprzez usługę VirusTotal, a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania. 1. Przez panel sterowania odinstaluj: Brave Dwarves 2 GOLD v1.15 (podaję jako działanie ewentualne, w FRST mam flagowanie żeby zwrócić na to uwagę, ale z tego co się orientuje to jakaś gra. Prawda?) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. 3. Sprawdź poniższe pliki w usłudze VirusTotal.com (Uploudujesz plik > Klik w Przeskanuj > Po zakończonej analizie kopiujesz link z pasku adresów URL i dostarczasz go mi w następnym poście. Procedurę powtarzasz w przypadku każdego pliku (razem mają być cztery linki). C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe

W raportach brak oznak infekcji, nie ma śladu po wyszukiwarce Yahoo. 1. Przez Panel sterownia odinstaluj: McAfee Security Scan Plus (nabyte przypuszczalnie jako sponsor pobierania, zresztą nie potrzebujesz go choćby dlatego, że i tak Twoim oprogramowaniem zabezpieczającym jest McAfee Internet Security), Akamai NetSession Interface (zbędnik). W skrypcie: kasacji pustych skrótów oraz CLSID. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-647964530-2040888843-2415202527-1001\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp demo\Documentation\V-Ray for SketchUp Online Documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5 in Safe Mode.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Przeszukamy cały system (w raportach nie widzę wszystkiego) pod względem elementów plikowych Yahoo. Uruchom FRST i w polu Search (Szukaj) wklej: yahoo*.* Następnie kliknij Serach Files (Szukaj plików). Oprócz wyszukiwania plików sprawdzimy również Rejestr. Uruchom FRST i w polu Search (Szukaj) wklej: yahoo Następnie kliknij Serach Registry (Szukaj w rejestrze). Raporty z obu wyszukiwań znajdują się w folderze, z którego był uruchamiany FRST (w Twoim przypadku na pulpicie więc, raport znajdziesz właśnie tam). 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).

Dokonaj diagnostyki zaszyfrowanego pliku poprzez wysłanie zaszyfrowanego pliku / notatki Ransomware na serwer usługi ID Ransomware - KLIK. Dostarcz wynik analizy, np. zrób zrzut ekranu. Od razu powiem, że jeśli narzędzie zidentyfikuję wariant Ransomware, na którego nie ma dekodera to zalecana jest kompleksowa reinstalacja systemu, z powodu innych możliwości wykorzystania infekcji (np. wykradania haseł).

OK. Usuń narzędzia diagnostyczno / dezynfekcyjne (raczej nie będą Ci już potrzebne, a po za tym są bardzo często aktualizowane, więc jednorazowe) - KLIK / KLIK.

Jestem aktualnie uprawniony do pomocy (w chwili pisania poprzedniego postu nie byłem), więc jak tylko dostarczyć najnowsze raporty to zaczniemy działać. Tylko pamiętaj, aby pobrać wersję najnowszą FRST - KLIK.

Ustawia się ponownie, ponieważ w samej przeglądarce tkwi jeszcze rozszerzenie SurvivingMinecraft Search Engine. Nie ma tutaj nic do robienia prócz kasacji omawianego rozszerzenia, nie będę nawet podawał skryptu, bo szybciej zrobimy to ręcznie. 1. Skasuj (odszukując w menu Start > sekcja Wyszukaj programy i pliki) plik C:\Users\DG_Ochota\AppData\Roaming\Mozilla\Firefox\Profiles\11fyju53.default\Extensions\{5a8145e2-6cbb-4509-a268-f3121429656c}.xpi 2. Wykonaj w FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki, roszerzenia i hasła nie zostaną naruszone. 3. Napisz czy problem ustąpił.

OK.

Gdyby coś się działo to standardowo wykonujesz obowiązkowe raporty systemowe i piszesz.

Nie rozumiem pytania. W tamtym temacie pomieszały mi się raporty i źle przykleiłem nazwę użytkownika, zamiast Stefan powinno być Lucas. Jeśli chodzi o ten kawałek skryptu: DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\NAZWA_UZYTKOWNIKA\AppData\Local\Mozilla C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Mozilla C:\Users\NAZWA_UZYTKOWNIKA\AppData\Roaming\Profiles to odpowiada on za usunięcie wszystkiego po przeglądarce Mozilla FireFox, stosuję to w przypadku kiedy log Addition nie wykazuję wpisu instalacyjnego FireFox, a log Shortcut jego skrótów (to są dowody na to, że przeglądarki w systemie praktycznie nie ma, tylko, że pozostawiła po sobie ślady z przeszłości).

W raportach brak oznak infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP,a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer. Panda Free Antivirus Baidu Antivirus Druga sprawa: korzystanie naraz z dwóch oprogramowań antywirusowych jest nie zdrowe, tzn. oba mogą się ze sobą sprzeczać. Zalecam deinstalacje. któregoś z dwóch. Kosmetyka: kasacja pustych skrótów, martwych usług, modyfikacji polityk grup oraz szczątek po programach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3383255461-950792870-2410534267-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S3 BdSandbox; Brak ImagePath S1 Bfilter; Brak ImagePath S1 Bfmon; Brak ImagePath S1 Bndef; Brak ImagePath S3 BNmon; Brak ImagePath S1 Bprotect; Brak ImagePath HKLM\...\regfile\shell\open\command: "regedit.exe" "%1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Heroes of Might and Magic V - Tribes of the East.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Play Dark Messiah Map.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Register the Game.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Heroes of Might and Magic V - Tribes of the East\Update.lnk C:\Users\USER\Desktop\progromy\Baidu Antivirus.lnk C:\Users\USER\Desktop\progromy\Skype.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Help.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Sawer\Sawer Online.lnk C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Hardcore\Help.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\USER\AppData\Local\Mozilla C:\Users\USER\AppData\Roaming\Mozilla C:\Users\USER\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. Jeśli nie będzie żadnych powikłań to usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz punkty przywracania systemu - KLIK / KLIK.

Tak.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz punkty przywracania systemu - KLIK / KLIK.

Wszystko pomyślnie wykonane. Jak z Twojej strony przedstawia się obecna sytuacja?

Czy temat jest nadal aktualny? Jeśli jest to proszę dostarcz wymagane raporty systemowe FRST oraz GMER.