Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 513
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. tomasz86 Wielkie dzięki! To z pewnością jest szkodliwy sterownik. Glados1233 Do wykonania następujący skrypt FRST: CloseProcesses: CreateRestorePoint: R1 ntknsv; C:\Windows\System32\drivers\ntknsv.sys [126880 2018-04-08] () C:\Windows\System32\drivers\ntknsv.sys Przedstaw wynikowy fixlog.txt.
  2. Przepraszam, wpisałam Firefox na zasadzie reakcji Pawłowa. Chodzi mi oczywiście o dowolną przeglądarkę która pokazuje ten defekt.
  3. Firefox nie został usunięty, tylko jego skróty zawierające ukrytą Cyrylicę (odpadek po jakiejś infekcji). Wystarczy, że skrót do Firefox stworzysz ręcznie. Skoro brak zmian, sprawdź czy problem występuje na innym urządzeniu w Twojej sieci (jakiś inny komputer/laptop), o ile to możliwe. - Jeśli tak, to oznacza infekcję sieci / routera. - Jeśli nie: nagraj log z Process Monitor co się dzieje podczas używania przeglądarki Firefox. Uruchom program, następnie otwórz Firefox i doprowadź do efektu pokazania się tych wyników wyszukiwania. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link. Materiały będą spore i nie mogę obiecać szybkiej analizy.
  4. Opis wskazuje, że jest ustawione jakieś ogólne "proxy" sieciowe, tylko w raportach nic nie widać. Tak jak podałam w innym temacie, spróbuj zresetować niektóre ustawienia sieciowe. Dodatkowo dołączę usuwanie szczątków po odinstalowanych programach. 1 Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: RemoveProxy: StartBatch: ipconfig /flushdns netsh advfirewall reset netsh int ipv4 reset all netsh int ipv6 reset all netsh int httpstunnel reset all netsh int portproxy reset all netsh int tcp reset all netsh winsock reset EndBatch: SearchScopes: HKU\S-1-5-21-4104627804-584984733-3715976581-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BootExecute: autocheck autochk * sdnclean64.exe MSCONFIG\Services: clsid10474 => 2 HKLM\...\StartupApproved\StartupFolder: => "ResumeInstall.exe" HKLM\...\StartupApproved\Run: => "ShadowPlay" HKLM\...\StartupApproved\Run: => "Launch LCore" HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "AceStream" HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "Discord" HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "uTorrent" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2018-04-18] (Zemana Ltd.) U1 avgbdisk; Brak ImagePath S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] C:\Program Files\Bitdefender C:\Program Files\Bitdefender Agent C:\Program Files\Common Files\AVG C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\Avira C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Zemana AntiMalware C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\HitmanPro C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro CC 2015.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Рrzеglądаrkа Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tokyo Dawn Labs\TDR Nova\User manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk C:\Users\Maciek\AppData\Local\Avg C:\Users\Maciek\AppData\Local\Google C:\Users\Maciek\AppData\LocalLow\uTorrent C:\Users\Maciek\AppData\Roaming\AVAST Software C:\Users\Maciek\AppData\Roaming\QuickScan C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\Users\Maciek\Desktop\Avira PC Cleaner.lnk C:\Users\Maciek\Desktop\Remove Avira PC Cleaner.lnk C:\Users\Maciek\Desktop\Pulpit V3\XMind 8 Update 5.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\Acrobat Reader DC.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\Adobe Application Manager.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\Моzillа Firеfох.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Ace Player.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Ace Stream Media Center.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\LibreOffice 5.3.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Origin.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Cheat Engine.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\DSJ4.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Euro Truck Simulator 2(x32).lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Euro Truck Simulator 2(x64).lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\NBA 2K17.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\SWIMBI.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Uplay.lnk C:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\µTorrent.lnk C:\Users\Maciek\Downloads\Box Mockup - by Christian\SUPPORT ME.lnk C:\Users\Maciek\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\WINDOWS\system32\drivers\bdelam.sys C:\WINDOWS\system32\drivers\zamguard64.sys C:\WINDOWS\system32\Drivers\etc\hosts.20180729-223118.backup C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy wystąpiły jakieś zmiany w przeglądarkach.
  5. Podobny problem zgłaszany na forum wsparcia Google. Użytkownicy twierdzą, że problem podmiany wyszukiwarki zachodzi także w innych przeglądarkach, co oznacza że problem nie jest w obszarze Google Chrome, tzn. ustawione jakieś ogólne proxy lub infekcja IP (w tym niewykluczony router). Wstępnie spróbuj zresetować niektóre ustawienia sieciowe za pomocą poniższego skryptu FRST, przy okazji jeszcze drobne szczątki po programach do usunięcia. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: RemoveProxy: StartBatch: ipconfig /flushdns netsh advfirewall reset netsh int ipv4 reset all netsh int ipv6 reset all netsh int httpstunnel reset all netsh int portproxy reset all netsh int tcp reset all netsh winsock reset EndBatch: HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\Run: [Free Hide IP] => C:\Program Files (x86)\FreeHideIP\FreeHideIP.exe Task: {069D7A5B-C49C-46C3-B380-333220189FAE} - System32\Tasks\{69D2B9B9-F083-4C67-9766-916F8BEC9479} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe Task: {6529DDF7-E378-4DCF-9FF8-8F3C5A06FA79} - System32\Tasks\{F207A7AC-7606-4C14-8672-BCC9F77C2854} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe Task: {7916A536-7AEA-43DD-8AD2-8C5644C8894B} - System32\Tasks\{C89AF8C9-7B13-48C4-8848-77EFB5E67196} => C:\Program Files (x86)\Football Manager 2017 Editor\editor.exe IE trusted site: HKU\S-1-5-21-12500877-75935106-1869366309-1000\...\localhost -> localhost 2018-07-26 23:13 - 2018-07-26 23:13 - 000000000 ____D C:\ProgramData\Tencent 2018-07-26 23:11 - 2018-07-26 23:11 - 000000000 ___HD C:\$AV_AVG 2018-07-26 20:06 - 2018-07-26 20:06 - 000000000 ____D C:\Program Files\Common Files\AVG 2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\Users\y\AppData\Local\Avg 2018-07-27 17:54 - 2017-10-03 21:19 - 000000000 ____D C:\ProgramData\Avg EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Sprawdź czy wystąpiły jakieś zmiany w przeglądarce.
  6. Sprawdź co się stanie, gdy zdeaktywujesz wszystkie rozszerzenia (wliczając firmowe) i ponownie uruchomisz Chrome.
  7. Glados1233 proszę opisz krok po kroku w jaki sposób czyścisz Google Chrome, konkretnie wyliczając miejsca i nazwy opcji. Ponadto, czy ta wyszukiwarka w opcjach Chrome jest zablokowana, czy da się przestawić wyszukiwarkę na normalne Google (lub inną) i po tym ją normalnie odinstalować?
  8. Ten komunikat jest związany z przepełnieniem skrzynki.
  9. Ten komunikat wygląda jak okno przeglądarki Firefox otworzone "na cały ekran". Jedyny rekord który pasuje w logu do tego, to sam proces przeglądarki per se. Nie ma żadnych widocznych elementów startowych uruchamiających Firefox automatycznie. W związku z tym nasuwa się pytanie w jaki sposób jest uruchamiany laptop, tzn. czy tu przypadkiem nie ma włączonej hibernacji i po prostu przywracania ostatnio otworzonego okna przeglądarki. Moim pytaniem było czy w Trybie awaryjnym pokazuje się to okno z policją. Jeśli nie, to z poziomu tego trybu zmień ręcznie nazwę pliku C:\Program Files (x86)\Mozilla Firefox\firefox.exe na firefox.old, by tymczasowo zapobiec otwieraniu okna Firefox. Przejdź w Tryb normalny i sprawdź czy komunikat nadal się otwiera.
  10. Pytania: - Czy ta plansza to tło Pulpitu (coś ala "tapeta"), czy też osobne okno np. przeglądarki? Proszę zrób zdjęcie tej planszy. - Czy da się wejść do Trybu awaryjnego z poziomu ekranu logowania? - Udało Ci się uruchomić FRST z dysku E:, a wg listy to pendrive. Czyli pendrive jest widziany spod Windows, ale nie z poziomu Środowiska zewnętrznego RE? Drive e: (KINGSTON) (Removable) (Total:1.86 GB) (Free:1.12 GB) FAT
  11. Raporty są wprawdzie słabo czytelne i zniekształcone, ale miałaś problem z ich dostarczeniem, więc muszę tę formę na razie zaakceptować. Proszę rozwiń wątek "mam zablokowany laptop", czyli co się pokazuje i w jakiej fazie lub podczas jakich czynności. W podanych raportach FRST w ogóle nie widać żadnej infekcji. W Dzienniku zdarzeń Windows Defender jest następujący rekord: Windows Defender: =================================== Date: 2018-05-28 22:51:09.000 Description: Produkt Program antywirusowy Windows Defender wykryĹ zĹoĹliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskaÄ wiÄcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:HTML/Brocoiner!rfn&threatid=2147724297&enterprise=0 Nazwa: Trojan:HTML/Brocoiner!rfn Identyfikator: 2147724297 WaĹźnoĹÄ: PowaĹźny Kategoria: KoĹ trojaĹski ĹcieĹźka: file:_C:\Users\margo\AppData\Local\Mozilla\Firefox\Profiles\mk2i0cpv.default-1466473760920\cache2\entries\CE94BF5164C04AE312403C4CA6A85F4F3B1133A2 Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: Konkretne ĹšrĂłdĹo wykrycia: Ochrona w czasie rzeczywistym UĹźytkownik: Lenovo-PC\margo Nazwa procesu: C:\Program Files (x86)\Mozilla Firefox\firefox.exe Wersja podpisu: AV: 1.269.149.0, AS: 1.269.149.0, NIS: 1.269.149.0 Wersja aparatu: AM: 1.1.14901.4, NIS: 1.1.14901.4 To detekcja w cache Firefox i oznacza, że została odwiedzona strona z osadzonym skryptem kopania zasobów. Infekcja nie jest na poziomie systemu.
  12. GImageX Strona domowa Platforma: zgodnie z wymaganiami ADK / WAIK Licencja: freeware GImageX - Graficzny miniaturowy interfejs na narzędzie konsolowe ImageX występujące jako składowa pakietów ADK / WAIK. Oczywiście wymaga posiadania zainstalowanego bazowego pakietu (lub przynajmniej wyekstraktowanych z niego niezbędnych bibliotek bazowych). Aktualna wersja jest kompatybilna z Windows ADK for Windows 10 1803. Karty w interfejsie odpowiadają wykonywaniu poszczególnym poleceń z linii komend oryginału: Capture (nagrywanie obrazu woluminu z dysku do pliku WIM), Apply (zrzucanie obrazu woluminu na określony dysk), Info (pobór informacji i indexu podobrazów pliku WIM), Mount (montowanie obrazu WIM w trybie tylko do odczytu lub modyfikacji oraz odmontowanie z określeniem czy zapisać zmiany), Export (ekstrakcja obrazu składowego do nowego pliku WIM), Split (podział obrazu WIM), Change (zmiana parametrów opisowych plików WIM), Delete (kasowanie obrazu składowego pliku WIM). GImageX to aplikacja natywna dla obu gałęzi platformowych x86 i x64, może także działać w środowisku zewnętrznym Windows PE (WinPE). W paczce jest i komponent COM udostępniający podstawową funkcjonalność dla bezpośredniego użytkowania w językach skryptowych takich jak VBScript. Dołączony plik pomocy.
  13. Startup Tools (Narzędzia startowe) w Spybot Wersja instalacyjna Wersja portable Platforma: Windows 7 do Windows 10 32-bit i 64-bit Licencja: freeware Moduł "Startup Tools" zintegrowany w Spybot linii 2.x zastępuje RunAlyzer nieaktualizowany od 2008, zabugowany i niepolecany. Dla XP i Vista ostatnią zgodną wersją jest Spybot 2.4 (z 2014). Wyższe wersje tylko dla Windows 7 i nowszych. Wersja portable najlepszym wyborem, by skorzystać z tej funkcjonalności i ominąć niepotrzebne rejestracje w systemie. Spybota jako programu zabezpieczającego nie polecam. Analizer i menedżer punktów startowych z rodziny Spybot Search & Destroy. Manipulacji można poddać: Process List (pracujące w tle procesy), Autorun (podstawowe lokalizacje Autostartu), Advanced Startup (bardzo zagrzebane w systemie), Scheduled Tasks (Zaplanowane zadania), Explorer Plugins ("zawtyczkowania" powłoki i Internet Explorer), System Services (uruchamiane usługi i sterowniki), Winsock LSPs (dostawcy Winsock), Browser Pages (strony startowe Internet Explorer), Hosts (zawartość tego pliku), Installed Software (eksport kluczy Uninstall sumujących zestaw zamontowanych w systemie programów). Przeglądanie uzupełnia system filtrów z opcją ukrycia wszystkich prawidłowych i wyszukiwania z wykorzystaniem wyrażeń regularnych. Dany obiekt można zweryfikować przez bezpośrednie otworzenie docelowej lokalizacji w systemie oraz uruchomienie zewnętrznego wyszukiwania w oparciu o serwisy Google i Bing. Posiada moduł automatycznej klasyfikacji poprawności / szkodliwości wpisów w oparciu o własną wbudowany bazę danych, które to informacje mogą być aktualizowane online. Jest tu stosowany prosty kod kolorystyczny oznajmiający typ wpisu: zielone (wpisy poprawne) vs. czerwony (wpisy szkodliwe). Sumaryczny raport ma dwa rodzaje zapisu, kompatybilne z formatowaniem innych aplikacji: Spybot Search & Destroy lub HijackThis. Aktualny stan systemu lub wybrane wejścia można zapisać do kopii zapasowej *.REG. Program montuje "cały rejestr", a nie tylko ustawienia bieżące, tzn. są ładowane klucze należne do innych kont systemowych a nie tylko aktualnie zalogowanego użytkownika, a także wszystkie klucze konfiguracji ControlSet00X, a więc i te nieaktywne. Program ma zgodność ze środowiskami zewnętrznymi Windows, tzn. jest zdolny automatycznie wykryć alternatywną instalację Windows zlokalizowaną na innym dysku / partycji, zamontować rejestr takiego nieaktywnego systemu i poddać analizie. Program 32-bitowy, ale z możliwością wyciągania informacji 64-bit. Wbudowany język polski, który można ustawić z poziomu ustawień.
  14. Forum będzie za jakiś czas aktualizowane do wersji 4.x. Przygotowywałam się do tej aktualizacji baaardzo długo, omjając kolejne zabugowane edycje. Instalacja została już dokładnie zbadana na localhoście i właściwie wszystko jest przygotowane. Należy się przygotować na następujące rzeczy: Będzie to najdłuższa i najbardziej pracochłonna aktualizacja w dziejach forum. Skok na linię 4.x to bardzo inwazyjna zmiana, wymiana całego silnika i interfejsu. Sama aktualizacja jako taka to tylko początek procesu, ponieważ jest wymagana konwersja całej zawartości forum na nowe formaty. Procesy przebudowy forum startują po aktualizacji i mogą trwać wiele godzin, a nawet dni. Trudno określić dokładny czas na żywej tkance. Dla porównania testowa przebudowa na localhoście zajęła 3 bite dni, a i tak rezultaty konwersji są niezadawalające i są wymagane jeszcze ekstra działania z naszej strony polegające na bezpośredniej ingerencji w bazę danych, by podmienić nieprzekonwertowaną lub źle przekonwertowaną treść. W trakcie przebudowy prawdopodobnie forum nie będzie włączone, gdyż zawartość jest widoczna w postaci "rozkodowanej", co może zostać błędnie zinterpretowane jako "uszkodzone treści". Aczkolwiek nie podjęłam jeszcze ostatecznej decyzji na którym etapie włączę forum. Aktualizacja usuwa następujące funkcje: Nazwa użytkownika - Nazwa użytkownika (używana w dialogu logowania) oraz nazwa wyświetlana (widzialna na forum w profilu / postach) zostaną scalone w nazwę wyświetlaną. Do logowania będzie używana nazwa wyświetlana. Większość użytkowników, czyli tych którzy mają nazwę użytkownika tożsamą z nazwą wyświetlania, nie zauważy zmiany i zaloguje się z automatu. Natomiast użytkownicy mający rozbieżności w tych nazwach (np. prosili mnie o zmianę nicka na forum) muszą usunąć / zaktualizować zapamiętany login w przeglądarce i w trakcie logowania jako nazwę użytkownika wprowadzić nick pod którym ich widać publicznie na forum, a nie poprzednią nazwę. Znajomi - Funkcja zastąpiona przez "Obserwujących", którzy dostają powiadomienia o aktywności obserwowanego (nowy post czy status). Podczas aktualizacji zostanie wybrana opcja domyślna by nie konwertować Znajomych na Obserwujących w celu uniknięcia masowych (i potencjalnie niepożądanych) powiadomień. Czyli wszyscy na forum utracą listę znajomych. Jeśli ktoś będzie niezadowolony z tej decyzji, może potem ręcznie dodać te same osoby do obserwowanych, o ile osoby te nie wyłączą takiej możliwości po swojej stronie.
  15. Objawy wskazują na naruszenie klasy Kosza w rejestrze. Uruchom FRST, CTRL+Y i do pliku wklej (+ zapisz) poniższą treść, a następnie klik w Napraw: Unlock: HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} StartRegedit: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon] "full"="C:\\Windows\\System32\\imageres.dll,-54" @="C:\\Windows\\System32\\imageres.dll,-55" "empty"="C:\\Windows\\System32\\imageres.dll,-55" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}] @="Recycle Bin" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,35,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,38,00,39,00,36,00,34,00,00,00 "AppID"=hex(2):7b,00,45,00,31,00,30,00,46,00,36,00,43,00,33,00,41,00,2d,00,46,\ 00,31,00,41,00,45,00,2d,00,34,00,41,00,44,00,43,00,2d,00,41,00,41,00,39,00,\ 44,00,2d,00,32,00,46,00,45,00,36,00,35,00,35,00,32,00,35,00,36,00,36,00,36,\ 00,45,00,7d,00,00,00 "SortOrderIndex"=dword:00000078 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,00,6d,00,\ 61,00,67,00,65,00,72,00,65,00,73,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,35,\ 00,35,00,00,00 "Empty"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,00,\ 6d,00,61,00,67,00,65,00,72,00,65,00,73,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,\ 00,35,00,35,00,00,00 "Full"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,00,\ 6d,00,61,00,67,00,65,00,72,00,65,00,73,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,\ 00,35,00,34,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shell\empty] "MUIVerb"="@shell32.dll,-10564" "Icon"="shell32.dll,-254" "Description"="@shell32.dll,-31332" "CommandStateHandler"="{c9298eef-69dd-4cdd-b153-bdbc38486781}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shell\empty\command] "DelegateExecute"="{48527bb3-e8de-450b-8910-8c4099cb8624}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers\{645FF040-5081-101B-9F08-00AA002F954E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder] "Attributes"=hex:40,01,00,20 "HideOnDesktopPerUser"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}] @="Recycle Bin" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{B7534046-3ECB-4C18-BE4E-64CD4CB7D6AC}] "Name"="RecycleBinFolder" "Category"=dword:00000001 "ParsingName"="::{645FF040-5081-101B-9F08-00AA002F954E}" EndRegedit: Reboot: Przedstaw wynikowy Fixlog.
  16. Zdrowych, spokojnych i wesołych Świąt Wielkanocnych dla wszystkich użytkowników fixitpc.pl
  17. Default Programs Editor Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Default Programs Editor - Mały program przeznaczony do operacji na powiązaniach plikowych. Akcje są rozplanowane na trzy grupy tematyczne: File Type Settings: dodawanie / edycja / usuwanie wejść menu kontekstowych, edycja informacji o typie pliku (ikona oraz opis), zmiana typu pliku przypisanego do danego rozszerzenia. Autoplay Settings: dodawanie / edycja / usuwanie autoplay handlers, przypisywanie opcji autoplay dla typu medium, zmiana domyślnego autoplay handler. Default Programs Settings: dodawanie lub usuwanie powiązań programów z rozszerzeniami. Konfiguracja programu umożliwia dodatkowo: zainstalowanie programu w Panelu sterowania (opcjonalne - program jest domyślnie bezinstalacyjny), w(y)łączenie dialogu dla nieznanych typów plików "Search web for unknown extension" / "Użyj sieci Web do znalezienia odpowiedniego programu", w(y)łączenie wewnętrznego śledzenia informacji związanego z raportowaniem zniekształconych wartości rejestru, uaktywnienie odnośników "Jump to registry key" czyli otwierających bezpośrednio miejsce w rejestrze. Wymagania: zainstalowane .NET Framework 3.5.
  18. Wszystko zostało pomyślnie usunięte. Na koniec zastosuj DelFix.
  19. Polecenie dir /a: C:\Users>dir /a Volume in drive C has no label. Volume Serial Number is FC95-73CE Directory of C:\Users 09/19/2017 07:55 AM .09/19/2017 07:55 AM ..07/14/2009 05:53 AM All Users [C:\ProgramData] 07/08/2015 03:47 PM Default07/14/2009 05:53 AM Default User [C:\Users\Default] 07/14/2009 05:41 AM 174 desktop.ini 11/18/2017 03:46 PM Fixitpc08/31/2017 06:24 PM Public02/14/2017 03:03 PM Wlasciciel-glówny 1 File(s) 174 bytes 8 Dir(s) 2,817,409,024 bytes free C:\Users>
  20. Z perspektywy domowego komputera i linkowania lokalnie katalog katalog nie ma różnicy między i , w rozumieniu zachowania linka. Podstawowa różnica pojawia się przy przetwarzaniu na poziomie serwera i ścieżkach sieciowych / relatywnych. Więcej wyjaśnień tutaj.
  21. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.
  22. Wprawdzie w Harmonogramie zadań siedzi miner (Tasker21), ale nie widzę nic bezpośrednio związanego z automatyczną reinstalacją Crazy Shooting (widać tylko to rozszerzenie, ale brak reinstalatora w rejestrze, czy innego obiektu jawnie powiązanego). Wstępnie usuńmy co widać i zobaczymy jakie to przyniesie skutki. Operacje do wdrożenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: Task: {7155B8BB-9930-4F9D-AD24-6C7147E4A5AA} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {975FBD52-CF71-4AE4-B8AC-E21F2766F42B} - System32\Tasks\Tasker21 => C:\Users\Kuba\AppData\Roaming\Lib\tskschd.exe [2017-12-02] () Task: {CDC103DD-723C-45EF-A071-A49B14B934A7} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "World of Tanks" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "CyberGhost" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "Kaspersky Software Updater" HKU\S-1-5-21-1750907558-4260668389-1687080380-1001\...\StartupApproved\Run: => "BlueStacksFriends" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe GroupPolicy: Ograniczenia CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1750907558-4260668389-1687080380-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\Users\Kuba\AppData\Roaming\java Folder: C:\Users\Kuba\AppData\Roaming\Lib C:\Users\Kuba\AppData\Roaming\java C:\Users\Kuba\AppData\Roaming\Lib C:\Users\Kuba\AppData\Roaming\Mozilla C:\Users\Kuba\AppData\Roaming\TunnelBear C:\Users\Kuba\AppData\Roaming\uTorrent C:\Users\Kuba\AppData\Local\Mozilla C:\Users\Kuba\AppData\LocalLow\Mozilla C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\TEMP C:\ProgramData\MAGIX\Music Maker\25\MxSynth\Concert Grand LE.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj Crazy Shooting. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  23. Kończymy: 1. Zastosuj DelFix, by usunąć używane skanery. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj archaiczną wersję Internet Explorer 8 do wersji 11. Instalator bezpośredni podany w w/w linku. Po instalacji uruchom Windows Update w celu doładowania reszty łat.
  24. Wszystko pomyślnie wykonane. Drobny skrypt końcowy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\SUPERDelete RemoveDirectory: C:\ProgramData\mks_vir RemoveDirectory: C:\ProgramData\SUPERAntiSpyware.com RemoveDirectory: C:\Users\Marcin\Desktop\FRST-OlderVersion Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.
  25. Usuwanie pomyślnie przeprowadzone. Końcowe czynności: 1. Usuń z dysku pusty skrót: C:\Users\Benduch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wersja deweloperska Google Chrome.lnk 2. Zastosuj DelFix, by pozbyć się używanych narzędzi diagnostycznych.
×
×
  • Dodaj nową pozycję...