Miszel03

Tak to wszystko.

W raportach widać jeszcze jeden program, który (na podstawie daty i opinii) należy usunąć (przypuszczalnie został nabyty właśnie po uruchomieniu tego pliku) mówię cały czas o aplikacji Mail.Ru. Do tego kasujemy modyfikacje polityk grup oraz inne resztki programów itd. 1. Włącz przywracanie sytemu - (KLIK). 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-877549434-3901300369-924540138-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407 SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014 SearchScopes: HKU\S-1-5-21-877549434-3901300369-924540138-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7F906527-BA7E-41F5-A3FA-F69B69251D05%7D&gp=811014 2016-12-02 14:18 - 2016-12-02 14:19 - 00000000 ____D C:\Program Files (x86)\Mail.Ru 2016-12-02 14:17 - 2016-12-02 14:17 - 00000000 ____D C:\ProgramData\Mail.Ru ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Konrad\AppData\Local\Mozilla C:\Users\Konrad\AppData\Roaming\Mozilla C:\Users\Konrad\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Konrad\AppData\Local CMD: dir /a C:\Users\Konrad\AppData\LocalLow CMD: dir /a C:\Users\Konrad\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. Skan wykonywany przez CyberTarcze jest bardzo limitowany, ocena na podstawie IP, nie jest skanowany system. Kosmetyka: kasacja martwych usług i pustych skrótów. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] C:\Users\Camilo\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1059325536_pl.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Beyond the Sword\_Civ4Config.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\Warlords\_Civ4Config.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4TransferredMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4ScreenShots.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Saves.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Replays.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Patch.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Logs.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMods.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomMaps.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4CustomAssets.lnk C:\Users\Camilo\Documents\Sid Meier's Civilization 4\Sid Meier's Civilization 4\_Civ4Config.lnk C:\Users\Camilo\Links\Skany.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Zadałem niepotrzebnie te zadania, bo bieżący adres jest w porządku, natomiast podany jako amerykański, jest już martwy. Przepraszam, za niepotrzebne zamieszanie. W takim razie możesz teraz zmienić hasło do swojego konta pocztowego, tak na wszelki wypadek. Jeśli nie ma żadnych powikłań po wykonywanych tutaj czynnościach to będziemy kończyć (bo czynnych infekcji brak). Usuń narzędzia diagnostyczno / dezynfekcyjne oraz punkty przywracania systemu - KLIK / KLIK.

Brakuje 3 raportu generowanego przez narzędzia Farbar Recovery Scan Tool, czyli pliku Shortcut.txt. Bez niego nie ruszamy.

W raportach brak oznak infekcji. Ja również nie mogę wejść na tą stronę - być może jest na niej założona jakaś blokada geolokalizacji. (Możesz próbować ewentualnie wejść przy wyłączonym oprogramowaniu antywirusowym oraz dodatkach w przeglądarkach). W skrypcie kasacja modyfikacji grup polityk oraz szczątek po rożnych programach. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Restriction GroupPolicy\User: Restriction SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 cmdAgent; no ImagePath U3 ufdiipob; \??\C:\Users\Browar\AppData\Local\Temp\ufdiipob.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Wygląda na to, że jest OK. Jak z Twojej strony przedstawia się sytuacja?

Usuniemy te amerykańskie adresy DNS. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez menu Start uruchom wiersz poleceń cmd.exe (jako administrator) i wpisz frazę ipconfig /flushdns i ENTER. Uruchom ponownie komputer. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Raporty zostały wykonane bardzo starą wersją narzędzia Farbar Recovery Scan Tool (wersja sprzed 631 dni!). Pobierz najnowszą wersję (KLIK) i wykonaj nią raporty. Dostarcz raporty z tych działań.

OK. Kończymy.

Pomieszały mi się logi (a właściwe nazwy użytkownika) - przepraszam. W trzech ostatnich linijkach już nazwa użytkownika została zmieniona, o ile nie wykonałeś jeszcze pkt. 1 to wykonaj teraz, ewentualnie gdybyś już wykonał to przetwórz te 3 linijki skryptu: C:\Users\Lucas\AppData\Local\Mozilla C:\Users\Lucas\AppData\Roaming\Mozilla C:\Users\Lucas\AppData\Roaming\Profiles sposób zapisu i wykonania ten sam co w poście wyżej (patrz pkt. 1).

W raportach tak jak już się w pewnie domyślasz brak oznak aktywnej infekcji. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange. Do wykonania tylko drobna kosmetyka oraz usunięcia szczątek po przeglądarce FireFox adware / PUP. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy\User: Ograniczenia CHR HomePage: Default -> hxxp://trafficmonsoon.com/member/seecashlinks.php CHR StartupUrls: Default -> "hxxp://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=SAMSUNG_HD502HI_S1VZJ90S514009&ts=1347652402","hxxp://do-search.com/?type=hp&ts=1432369109&z=4e3e087fde3d9ed862ef3c5g7z1ceo5cbq9tag8efo&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90S514009" CHR DefaultSearchURL: Default -> hxxp://www.google.com/search?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t CHR DefaultSuggestURL: Default -> hxxp://suggestqueries.google.com/complete/search?q={searchTerms} C:\Users\Lucas\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lucas\AppData\Local\Mozilla C:\Users\Lucas\AppData\Roaming\Mozilla C:\Users\Lucas\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko (o ile cokolwiek zostanie po wykonaniu operacji z FRST) z wyjątkiem wyszukiwarki Google. 3. Nie musisz już dostarczać wynikowych raportów oraz nowych logów, bo jest to zbędne. No chyba, że ujawniły by się jakieś powikłania.

AdwCleaner to program służący do usuwania wszelkiej maści adware / PUP, raczej nie nadaję się do użycia w przypadku wykrycia takich działań. Przechodząc do sedna: w raportach brak oznak czynnej infekcji, są ślady mogące wskazywać na wcześniejsze jej istnienie (modyfikacja polityk grup Windows Defender, ale to może mieć związek z wspomnianym przez Ciebie problem z programem Tencent). Mam natomiast jeszcze jedno pytanie, a mianowicie: czy amerykańskie adresy DNS (KLIK / KLIK) na routerze są ustawione przez Ciebie? Z raportu wynika, że klucze zostały przywrócone, więc w poniższym skrypcie je kasuje (i już ich tam nie będzie). Wykonaj poniższe punkty. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Windows Defender SearchScopes: HKLM -> {B74C49A1-6F11-452F-811A-72D26235E213} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} Task: {93F1413F-F7C0-402C-AC7B-CAAEE49D7E4C} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\GG dysk.lnk C:\Users\HP\Desktop\pendrive\pendrive orange\Pulpit\HTTrack Website Copier.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink 3.2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\DVD Shrink Information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Shrink\Uninstall DVD Shrink.lnk DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM64\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system swoim oprogramowaniem antywirusowym Avast oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie znalezione przez nie nagrożenia poddaj kwarantanni. 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

OK. Nie mam pomysłu na naprawę tego. Najlepiej zgłoś swój temat w temacie picasso - KLIK, ona pewnie będzie wiedziała co zrobić.

Nie ma się prawie tutaj czym zajmować. Brak czynnych infekcji adware / PUP. Do wykonania końcowe oczyszczanie i kosmetyka. Myślę, że ten problem zniknie po wykonaniu poniższych zaleceń. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 gdrv; \??\C:\Windows\gdrv.sys [X] Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku C:\Users\ZUB2\Documents\Play - e-faktura do pobrania - 13.02.2015_pliki — skrót.lnk C:\Users\ZUB2\Desktop\aktualizacja gang.lnk C:\Users\ZUB2\Desktop\aktualizacja kaper.lnk C:\Users\ZUB2\Desktop\aktualizacja mag.lnk C:\Users\ZUB2\Desktop\m_pojazdow — skrót.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ZUB2\AppData\Local CMD: dir /a C:\Users\ZUB2\AppData\LocalLow CMD: dir /a C:\Users\ZUB2\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zamykam, gdyby problem wrócił proszę o wiadomość po przez prywatną wiadomość.

Raczej jest to mało prawdopodobne (mi np. raz klawiatura szalała jak opętana po niemiłym spotkaniu z wodą), mówię: nic tu nie wskazuję na takową ingerencję. Skasuj jeszcze ręcznie te lokalizacje: (zapomniałem dać do usuwania) C:\WINDOWS\System32\Tasks\TweakBit C:\ProgramData\TweakBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TweakBit

Daj mi jeszcze trochę czasu na to, tymczasem wykonaj jeszcze to (ma to związek z infekcjami): 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz (jako kodowanie UTF-8) pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog.txt

Raporty wyglądają już OK, jeśli będzie już wszystko w porządku to wykonaj poniższe zadania. Usuń narzędzia diagnostyczno / dezynfekcyjne, punkty przywracania oraz zaktualizuj ważne programy - KLIK / KLIK / KLIK. Zapoznaj się z artykułem dot. portalów z oprogramowaniem - KLIK.

Skoro wszystko działa jak należy to kończymy. P.S: Mnie chodziło o to, abyś wyłączyła Nortona i zobaczyła czy podczas jego braku pracy problem występuje.

W raportach brak oznak infekcji, w spoilerze działania poboczne (usunięcie adware, a bardziej tzw. "witaminek") oraz kosmetyka.

W systemie faktycznie umiejscowiło się ustrojstwo samoistnie uruchamiające strony, świadczą o tym poniższe wpisy. HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Po za tym szkodliwe zmodyfikowane zostały polityki grup, plik Hosts, strona startowa w przeglądarce Opera oraz mapa domen w przeglądarce Internet Explorer. Zaczynamy. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Run: [a] => explorer.exe hxxp://kb-ribaki.org HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-3029930857-75846965-513736063-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-3029930857-75846965-513736063-1004\User: Ograniczenia OPR StartupUrls: "hxxp://www.viceice.com/" S3 ALSysIO; \??\C:\Users\a\AppData\Local\Temp\ALSysIO64.sys [X] U4 aspnet_state; Brak ImagePath Task: {0E290C5A-E448-4B52-88D2-C0D6CC124D04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {190EE76C-8FD2-4ED3-9409-FA9CF48F1022} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {25163D73-4287-496E-90DB-C889AED68EC6} - \{81E27DC7-FE6C-43C1-B00C-D6438B953CBE} -> Brak pliku Task: {3BB0A579-F9E0-4210-940C-EA198390F9A6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4716494B-9F5F-404A-97AB-53DC5C45CE09} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {4C00A19B-E4F1-4D56-8DCF-0E47CA04F081} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {624F7E00-A058-4937-87B6-8387A89DE4CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {9014E7D0-6D5A-419F-8FCC-E7CFCA808A98} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {96C8EDD4-4AAB-42DA-B57A-F46B0F7A15A9} - System32\Tasks\a => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v a /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {9D7D9F7B-EDCD-4090-812D-C71191EE713E} - \{98CA4D20-FC4D-4B3B-8F85-2F12EACB9230} -> Brak pliku Task: {B5815E6D-0BB7-4C42-BAD8-A880475B6934} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {CB6BA3EF-32A0-4858-9671-3C45C3195E10} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {CC6AB63C-6A63-4B3C-9F18-B852972AC3AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {DC82B4C0-854D-43B3-82BE-1D873E44AEC1} - System32\Tasks\Realtek HD Audio => C:\Users\a\AppData\Local\SniperV2\Realtek HD\rthdcpl.exe Task: {E3C491BE-030E-46EF-B1AA-2977622B3949} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E7BEB8AA-E05B-48E5-9C89-238A40DC7CFD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EC3DA0C2-10B2-42E5-BEAB-CD63D6D00E9D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F7A31922-4D2D-494E-B566-4E7C81784E13} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Folder: C:\Users\a\AppData\Local\SniperV2\Realtek HD CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\a\AppData\Local CMD: dir /a C:\Users\a\AppData\LocalLow CMD: dir /a C:\Users\a\AppData\Roaming DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Masz2oo2 Wejdź w Panel sterowania, następnie w Sieci I Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej (boczny panel) > Wybierasz swoją sieć > Z PPM wybierz Właściwość > Zaznacz Protokół internetowy w wersji 4 (TCP/IPv4) > Właściwości > Sekcja Użyj następujących adresów serwera DNS > W Preferowany adres serwera DNS wpisz 8.8.8.8, a w alternatywnym 8.8.4.4 (To są adresy Google) > Zapisz zmiany > Uruchom ponownie komputer > Sprawdź połączenie.

Sprawy poboczne wykonane pomyślnie. Sprawdziłem u siebie jak to wygląda i mi wszystko działa prawidłowo. Sprawdź jaki rezultat będzie po wyłączeniu Twojego oprogramowania zabezpieczającego, czyli Nortona.

Grimm uważaj na słowa i zachowaj kulturę. Post Lennego zostanie wydzielony jako osobny temat. Pozdrawiam.