Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 513
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. Wg spodziewań brak rozmachu i niewiele GB przybyło, a problem będzie stale wracał (Windows Update, kolejne instalacje, etc.). Drive c: () (Fixed) (Total:102.78 GB) (Free:8.1 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] 1. Drobne poprawki. W Google Chrome nadal widzę delikwentów Ask Web Search, FunCustomCreations oraz modyfikacje ustawień wyszukiwarki wykonane przez Ask - ponów czyszczenie wg podanych kroków. Następnie uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CHR NewTab: Default -> Not-active:"chrome-extension://aloclllfpfjnbhenpnopmemkdjnoimki/stubby.html" RemoveDirectory: C:\ProgramData\McAfee StartBatch: attrib -h C:\Users\GIIOST\AppData\Roaming\winuptstart.bat del /q C:\Users\GIIOST\AppData\Roaming\winuptstart.bat del /q C:\Users\GIIOST\Downloads\a0362ddc-c581-48d0-b0c6-b9a5077bccc4.tmp EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Gry których nie można odinstalować mogą rzeczywiście być częściowo usunięte. Ich dane instalacyjne spróbuj usunąć za pomocą Program Install and Uninstall Troubleshooter. Program należy uruchomić tyle razy ile wejść, nie umożliwia akcji zbiorowej. Po akcji sprawdź czy na dysku poniewierają się foldery zdefektowanych gier, a jeśli to po prostu skasuj ręcznie (SHIFT+DEL omija przenoszenie do Kosza). 3. W folderze Pobrane jest sporo grubych plików AVI - te pliki możesz przenieść na D gdzie jest dużo wolnego. Skan FRST jest bardzo ograniczony, więc do dalszej diagnostyki skorzystaj ze SpaceSniffer by dokładnie zanalizować gdzie jest najwięcej pożarte. Program należy zastartować przez Uruchom jako administrator, by obliczył sfery zablokowane na zasadzie uprawnień.
  2. Temat przenoszę pod dostosowanym do problemu tytułem do działu Windows, to w ogóle nie jest problem infekcji. Bytefence to niepożądany skaner, lewy program instalowany siłowo na systemach! Brak wolnego miejsca klaruje się jako przyczyna spowolnienia: Drive c: () (Fixed) (Total:102.78 GB) (Free:4.28 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Tu nie będzie żadnej cudownej solucji, należy ręcznie pozbyć się niepotrzebnych rzeczy z dysku. Skrypt FRST nie zdziała zbyt dużo, jedyna komenda która ewentualnie wpłynie na wyniki to czyszczenie Tempów, ale nie spodziewam się wybitnych wyników, bo już CCleaner był uruchamiany (zazębiające się sfery czyszczenia). Ostatecznie jeszcze mogę załączyć na usuwanie katalog pobierania Windows Update. 1. Wyczyść foldery Przywracania systemu, co być może zwolni z kilka GB: KLIK. 2. Odinstaluj niepotrzebne / nieużywane programy, te które zdołasz i nie zwrócą komunikatu o potrzebie większej ilości miejsca do deinstalacji. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" FF Homepage: Mozilla\Firefox\Profiles\8wjxr8p5.default -> hxxp://www.gazeta.pl/0,0.html?p=190 HKU\S-1-5-21-588954717-1973757066-1361698813-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [steam] => "D:\Steam\steam.exe" -silent HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [Flvto YouTube Downloader] => "C:\Users\GIIOST\AppData\Local\Flvto YouTube Downloader\FlvtoYoutubeDownloader.exe" /minimize HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [spotify Web Helper] => "C:\Users\GIIOST\AppData\Roaming\Spotify\SpotifyWebHelper.exe" HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [spotify] => "C:\Users\GIIOST\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized HKU\S-1-5-21-588954717-1973757066-1361698813-1001\...\Run: [Gaijin.Net Agent] => "C:\Users\GIIOST\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe" S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {03981213-7BF7-49DE-AFF4-F29686DDC89C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {28CFD49C-3089-459D-A8BA-D3DE61644807} - System32\Tasks\{94A902B2-E467-428D-A568-326F0A201424} => C:\Windows\system32\pcalua.exe -a "C:\Users\GIIOST\Desktop\The Sims 4 Vampires.exe" -d C:\Users\GIIOST\Desktop Task: {D4B4E4FC-6B5A-433A-9CE2-473CC12E853C} - System32\Tasks\{F2876072-523F-4F91-9439-FF83B5B1D537} => C:\Windows\system32\pcalua.exe -a "D:\Król Nazguli\mods\Uninstall.exe" -d "D:\Król Nazguli\mods" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{0FC5C84E-3BE7-469B-9862-61E54A0CEC06} RemoveDirectory: C:\Users\GIIOST\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50} RemoveDirectory: C:\Users\GIIOST\AppData\Local\Google\Chrome\User Data\Guest Profile RemoveDirectory: C:\Users\GIIOST\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Windows\SoftwareDistribution\Download StartBatch: del /q C:\Users\GIIOST\AppData\Roaming\winuptstart.bat netsh advfirewall reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z niepożądanych wtrętów: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj następujące rozszerzenia: Ask Web Search, Bitmotion - New Tab, FunCustomCreations, o ile nadal będą widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  3. Zabij proces FRST, następnie w powyższym skrypcie wytnij linię CreateRestorePoint: i ponów zadanie. A deinstalacje programów zabezpieczających miały być wykonane dopiero po pomyślnym usuwaniu via FRST, w przeciwnym wypadku malware blokujące w oparciu o certyfikaty może uniemożliwić tę operację.
  4. Programy do czyszczenia rejestru (oraz "jednoklikowe" konserwacje) nie są tu polecane. Użycie czyścicieli nie podnosi wydajności, zaś algorytm wykrywania wadliwych wpisów podatny na fałszywe alarmy i można sobie zaszkodzić. Na forum były przykłady, gdy trzeba było odkręcać cały system po zbyt przedsiębiorczym czyścicielu. Obecnie to nawet część z nich jest wykrywana jako "potencjalnie niepożądana aplikacja" w programie MBAM.
  5. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\FRST oraz FRST i jego logi z E:\Pobrane\Programs. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniższe programy (linki ww/w temacie). Zaś uTorrent polecam zamień nie-reklamodawczym qBittorrent. ==================== Zainstalowane programy ====================== µTorrent (HKU\S-1-5-21-1532438688-69712199-1985089998-1000\...\uTorrent) (Version: 3.5.0.43916 - BitTorrent Inc.) Adobe Flash Player 26 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 26.0.0.151 - Adobe Systems Incorporated) Java 8 Update 131 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180131F0}) (Version: 8.0.1310.11 - Oracle Corporation)
  6. Wszystko poprawnie wykonane, malware Java usunięte. Drobne poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {F077E2D2-C294-4E9A-BAFB-E8EDAF43440D} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\4.4.0\DriverBooster.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Comms RemoveDirectory: C:\ProgramData\ProductData StartBatch: del /q C:\TDSSKiller.3.1.0.15_14.09.2017_16.46.49_log.txt netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. 2. I coś jest nie tak z instalacją GameSave Manager v3. Były w raporcie notowane puste skróty (już usunęłam), ale jeszcze poniższy plik jest uszkodzony. Odinstaluj / przeinstaluj ten program. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\gs_mngr_3.exe
  7. Ale przecież wykonałeś poprzednie stare instrukcje Miszela, która ja usunęłam jako nieaktualne (nie adresowały wielu wpisów). Wpis apletu Java w ogóle nie ruszony. Do wykonania mój skrypt, a po tym nowe skany FRST. Oczywiście te dane już w nowym poście.
  8. Jeśli chodzi o problem główny, z raportów nic konkretnego nie wynika. Ale jeśli chodzi o infekcję, to zaprezentowałeś przecież skan z Kasperskiego, a w nim obiekt który nadal jest aktywnie uruchomiony w systemie (wpis startowy i masa procesów Java): HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" 1. Odinstaluj Driver Booster. To program typu "PUP", wątpliwej reputacji, jest nawet wykrywany przez MBAM. Sterowniki aktualizuje się precyzyjnie ręcznie a nie "na oko" automatami. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0ED2792E-65E5-474A-9137-6682BBBD192B} - System32\Tasks\{20E29486-81D5-41A1-BF5B-9F30E732ADFA} => D:\RavenShield\system\ravenshield.exe Task: {108ED360-B2F8-40B4-8EAF-63A31AD510EB} - System32\Tasks\{3158FCAB-1254-4AA0-B86E-9B2199809009} => C:\Windows\system32\pcalua.exe -a E:\Pulpit\PULPIT\programy\GSAutoClicker-Setup.exe -d E:\Pulpit\PULPIT\programy Task: {184886F2-B8B3-4F87-9383-5A364BE6A4E8} - System32\Tasks\{939D57EA-BDE4-43D0-883A-06A77FA8AA3F} => C:\Windows\system32\pcalua.exe -a K:\R3Setup.exe -d K:\ Task: {3E5EA80A-35B3-4E66-B707-7C8FDB9B50B2} - System32\Tasks\{5024C6F3-3316-42AD-8EFE-7602907E4DAC} => C:\Windows\system32\pcalua.exe -a D:\RavenShield\system\Setup.exe -d D:\RavenShield\system Task: {47BCC617-A6A8-40B9-B5CE-AE356954B34A} - System32\Tasks\{4F6719C5-AF32-4106-8F4E-CB76F537B918} => D:\Games\Mass Effect 3\Binaries\Win32\MassEffect3.exe Task: {711FC4A2-7FDD-4B0E-819C-B4E5D17E9A8C} - System32\Tasks\{12B20674-4654-4A89-AF1E-8297BC9D3108} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {807C1806-8F82-4D15-8D40-D876710A5D43} - System32\Tasks\{26A4B03C-3C35-42DC-90D9-051ABC6EFF1F} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {8ABE5765-862D-44B9-A585-A8D203A0783E} - \Auslogics\Driver Updater\Start Driver Updater оn Maciej logon -> Brak pliku <==== UWAGA Task: {C120646B-16B0-406C-8633-21806B80DC24} - System32\Tasks\{3726490B-F8D0-4068-BF9A-4642640E2561} => D:\RavenShield\system\ravenshield.exe CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\ProgramData\Comms C:\ProgramData\Comms\jconsole.jar C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 12.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSave Manager v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kamimachi site E C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Maciej\Desktop\Sexy Beach 3 - Complete English Edition.lnk C:\Users\Maciej\Desktop\SubtitleCreator.lnk CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome sugeruję pozbyć się rozszerzenia Stylish (z userstyles.org). To rozszerzenie zostało przejęte przez producenta adware (SimilarSites), ma wstawione programy śledzące/analityczne i nie jest godne zaufania. Więcej informacji: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I wypowiedz się w/w usuwanie przyniosło jakieś wymierne skutki.
  9. Tu jest o wiele więcej infekcji niż raportujesz: malware blokujące wszystkie główne programy antywirusowe w oparciu o certyfikaty, infekcja WMI i inne. Jeśli chodzi o Google Chrome, to być może podejścia z usuwaniem będą dwa, gdyż infekcja WMI odtwarza zainfekowane skróty. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) WMI_ActiveScriptEventConsumer_ASEC: Task: {34D284C7-9514-4D01-938A-FA19B8196A70} - System32\Tasks\Opera scheduled Autoupdate 1496920503 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {86D4A202-2F78-44F7-96C7-60FB80A72E6F} - System32\Tasks\oSThxc4DEbFg => osthxc4debfg.exe Task: {A5FB8D28-D504-41F0-B324-7EF271DB0D4C} - System32\Tasks\Opera scheduled suite Autoupdate 1496920513 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {A62C542D-9452-4556-B59B-9FB1D95AAC05} - System32\Tasks\Canon iutorub Express => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Canon iutorub Express\Canon iutorub Express.dll",YKOGxuvomcXD Task: {BCF2A156-DDF4-4D82-AEF9-28211776529B} - \{1727B1E3-0FB9-4E70-85F6-52306BB3A3B4} -> Brak pliku Task: {DF59654F-BB01-4D7F-9B24-2220718ABB88} - System32\Tasks\SpinTires => C:\Users\KRZYSZ~1\AppData\Local\Temp\is-8T1TB.tmp\prsetup.exe Task: {F3D2ECF4-2E1F-47ED-BD70-09AC5F164A9B} - \{0C0E0547-0C7D-7E0D-0A11-0F780B78110F} -> Brak pliku S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X] S1 wfcre; system32\drivers\wfcre.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx SearchScopes: HKU\S-1-5-21-894481356-605578302-1186019840-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-894481356-605578302-1186019840-1002\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Canon iutorub Express C:\Program Files (x86)\oSThxc4DEbFg C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip Help.lnk C:\Users\krzysztof\AppData\Local\installer.dat C:\Users\krzysztof\AppData\Local\Mozilla C:\Users\krzysztof\AppData\Local\Programs\Opera C:\Users\krzysztof\AppData\Roaming\Mozilla C:\Users\krzysztof\Desktop\gry, piosenki i nagrania\filip\Farming Simulator 15 .lnk C:\Users\krzysztof\Desktop\programy\Cheat Engine.lnk C:\Users\krzysztof\Documents\My Games\FarmingSimulator2015\mods\McAfee Security Scan Plus.lnk C:\WINDOWS\msdownld.tmp Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy powyższy skrypt się wykona poprawnie, odinstaluj jeden z programów zabezpieczających, gdyż jest ich za dużo: McAfee LiveSafe lub Norton AntiVirus. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  10. Jessika, systemowy folder to C:\ProgramData\Microsoft. Cytowany to śmieć, ale tu nie powinien mieć znaczenia. Czy MBAM był zainstalowany przed infekcją, czy dopiero pojawił się podczas czyszczenia? Czy przekierowania występują tylko w Google Chrome ale nie we wbudowanych przeglądarkach Microsoftu (Edge lub Internet Explorer)? ----> Jeśli problem tyczy też przeglądarek Microsoftu, cache DNS może być zainfekowane. ----> Jeśli problem tyczy tylko Google Chrome, to któreś z rozszerzeń może być zmodyfikowane. Z niedomyślnych elementów widać tylko jedno: CHR Extension: (Speed Dial 2 - New tab) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-09-06] W jaki sposób była robiona reinstalacja Chrome, tzn: czy podczas deinstalacji zaznaczyłeś opcję "Usuń dane przeglądania" (czyli profil), czy używasz konta Google do synchronizacji danych, a jeśli tak to czy czyściłeś synchronizację (to nie jest reset ustawień na poziomie lokalnym)?
  11. Jeśli chodzi o Fix FRST, to wykonany. Natomiast nie widzę zmian w Google Chrome: nadal preferencje adware oraz zainstalowany felerny Video Downloader professional.
  12. Temat przenoszę do działu Windows, to nie jest problem infekcji. Z raportów nic zupełnie nie wynika. Jednak podejrzenia budzi Kaspersky Anti-Virus - najbardziej rozbudowany obiekt startowy (multum usług i sterowników). Rozpocznij od sprawdzenia tego tropu. Rozumiem, że: nie masz konta Microsoftu lub nie pamiętasz do niego hasła (to alternatywna opcja logowania, gdy nie pamiętasz PIN, pozwala dostać się do Ustawień i zresetować PIN), zawartość komputera niedostępna. W tym przypadku możesz z poziomu instalacyjnego DVD utworzyć nowe konto lokalne, by się na nie zalogować i dostać do danych. Instrukcje tu: KLIK.
  13. Nic podejrzanego. W związku z tym nie za bardzo mam tu teraz pole manewru, brak oznak infekcji na koncie Michal. Czy przed ponownym pojawianiem się minera uruchamiałeś jakiś konkretny plik / program?
  14. Minery Bitcoinów są charakterystyczne dla uruchomienia jakiegoś pliku (np. cracka), nie wlatują samoistnie poprzez sieć czy na skutek zmiany ustawień Windows. W raportach FRST nic nie widzę, ale na wszelki wypadek podaj dane tego zaplanowanego zadania DataUsageLiveTileTask (kieruje na plik MS, ale FRST obcina zbyt dużo Argumentów komendy i nie wiadomo jakie są tam parametry) Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: type C:\Windows\System32\Tasks\S-1-5-21-1947299008-2126829087-4161886784-1001\DataSenseLiveTileTask Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.
  15. Temat przenoszę do właściwego działu Windows, nie ma nic wspólnego z infekcją. Nadal brakuje raportu FRST Addition z konta dell, to jest inny kontekst uprawnień (administrator) i pokazuje więcej niż log limitowanej Martyny. Ten log dostarczysz już jednak po poniższych działaniach. Czy ten błąd się pojawia po wyborze konkretnej opcji w ustawieniach czy też nie ma znaczenia które z ograniczeń chcesz zaaplikować? Z raportów nic nie wynika, ale na początek zweryfikuję co jest ustawione w GPO: GroupPolicy\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1002\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1001\User: Ograniczenia <==== UWAGA Chodzi o pierwszą linię, dwie pozostałe mają czytelne SID należne do pozostałych kont (Nikolas i Paulina) i powinny to być ekwiwalenty dla tych zasad: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 Odrębna sprawa to poniższe błędy, które też wymagają naprawy, ten błąd BCD to prawdopodobnie wynik uszkodzenia Zmiennych środowiskowych: UWAGA: ==> Nie można uzyskać dostępu do BCD. Dziennik Aplikacja: ================== Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8211) (User: ) Description: Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: VSS) (EventID: 12347) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Wykryto niespójność wewnętrzną podczas próby nawiązania kontaktu z modułami zapisującymi usługi kopiowania w tle. Moduł zapisujący rejestru nie odpowiedział na zapytanie z usługi VSS. Sprawdź, czy Usługa zdarzeń i Usługa kopiowania woluminów w tle działają prawidłowo oraz czy w dzienniku zdarzeń aplikacji nie występują inne zdarzenia. Operacja: Zbieranie danych modułu zapisującego Wykonywanie operacji asynchronicznej Kontekst: Kontekst wykonywania: Requestor Stan bieżący: GatherWriterMetadata Dziennik System: ============= Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (09/10/2017 06:11:51 PM) (Source: WMPNetworkSvc) (EventID: 14332) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja CoCreateInstance(CLSID_UPnPDeviceFinder) napotkała błąd „0x8002801d”. Sprawdź, czy usługa UPnPHost jest uruchomiona i czy składnik UPnPHost systemu Windows jest zainstalowany właściwie. Error: (09/10/2017 06:11:50 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Czyli na razie tylko pobór danych, naprawa niektórych błędów oraz poboczne kosmetyczne działania (usunięcie pustych wpisów). 1. Zaloguj sę na konto dell. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: set type C:\Windows\system32\GroupPolicy\User\Registry.pol vssadmin list writers reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {49606DC7-976D-4030-A74E-9FB5C842FA68} /f EndBatch: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] => 0 S2 SKLService64; C:\Program Files (x86)\KAward64\aklservice64.exe [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com BHO: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO: Brak nazwy -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Brak pliku Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Brak pliku C:\ProgramData\Media Center Programs\*.lnk C:\Users\dell\AppData\Local\42747051538627b9063d49.45359236 C:\Users\dell\AppData\Local\nszC05.tmp C:\Users\dell\AppData\Roaming\RKRPK C:\Users\Martynaa\Downloads\fotoshopy XD.lnk C:\Users\Nikolas\Desktop\Kontynuuj instalację Poly Bridge.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* DisableService: WMPNetworkSvc Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy skan FRST z poziomu konta dell, ale dostarcz tylko log Addition. Zaprezentuj też plik fixlog.txt.
  16. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i G:\INSTALKI\FRST oraz wszystkie logi FRST utworzone na obu kontach. 2. Zaktualizuj Java: KLIK. Stara wersja w systemie: Java 8 Update 72 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218072F0}) (Version: 8.0.720.15 - Oracle Corporation)
  17. Skrypt pomyślnie wykonany, infekcja nie jest już czynna. Ostatni skrypt do FRST: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dylaN\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.
  18. 1. To raczej wyglądało jak pozostałość po większej infekcji. Natomiast to co znalazł MBAM nie jest ważne. Wykrył rozszerzenie adware w martwym profilu Google Chrome. Chrome odinstalowane i wcześniej w skrypcie dostawiłam puste skróty i inne elementy. Usuń cały katalog: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcin\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\Desktop\Stare dane programu Firefox Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Swoją drogą, jest tu ogromna ilość kont użytkowników, na razie był sprawdzany tylko Marcin: Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia eyik (S-1-5-21-1244533767-2505366996-2244784048-1017 - Administrator - Enabled) => C:\Users\eyik Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin yyyy (S-1-5-21-1244533767-2505366996-2244784048-1018 - Administrator - Enabled) => C:\Users\yyyy Logi pobrane z konkretnego konta pokazują inne profile przeglądarek i inne wpisy strony HKCU/HKU.
  19. Tak jak mówiłam, na koncie Michal szczątki malware w Harmonogramie, ale na koncie dylaN malware jest aktywne, to ten Bitcoin Miner: Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Czyszczenie z poziomu konta dylaN: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {0FC1AF37-ABB7-48A3-B261-F49572751154} - System32\Tasks\Driver Booster Scheduler => D:\Programy\Driver Booster\4.5.0\Scheduler.exe Task: {252EDC30-46C7-4B1F-A403-721103DCD3C8} - System32\Tasks\Java Update Registration => C:\Users\Michal\AppData\Roaming\Autodesk\Java Update\jaureg.exe Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Task: {5E3A2920-77A9-489C-9930-46EF817F3D92} - System32\Tasks\InstallShield Update Service => C:\Users\Michal\AppData\Local\Ubisoft\ISSCH\issch.exe Task: {95212754-04D5-4F73-982F-76B79FD03CD6} - \DefenderUpdate -> Brak pliku <==== UWAGA Task: {A3659E65-6528-4958-84B4-354A7587ACC0} - System32\Tasks\Driver Booster SkipUAC (Michal) => D:\Programy\Driver Booster\4.5.0\DriverBooster.exe Task: {FB5C6DD6-DD63-47E2-9BBC-7277C6D67553} - \System\SystemCheck -> Brak pliku <==== UWAGA S3 GPUZ; C:\Users\Michal\AppData\Local\Temp\GPUZ.sys [27008 2017-09-08] () <==== UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins GroupPolicy: Ograniczenia <==== UWAGA C:\ProgramData\Driver-Soft C:\ProgramData\DriverGenius C:\ProgramData\IObit C:\ProgramData\ProductData C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe C:\Users\Michal\AppData\LocalLow\IObit C:\Users\Michal\AppData\Roaming\IObit C:\WINDOWS\IObit C:\Windows\System32\Tasks\System Folder: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Folder: C:\Users\dylaN\AppData\Roaming\Macromedia Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  20. Czy instalowałeś jakiegoś cracka? W raporcie conajmniej jeden (KMS-R@1nHook.exe), co może sugerować że używałeś więcej takich wynalazków, jeden z nich mógł mieć zaszytego trojana. Jeśli chodzi o jawne malware, to nie widzę nic aktywnego, tylko szczątki (kilka plików w root Program files i Debugger kierujący na svchost.exe) plus pozostałości adware w Google Chrome. Pod kątem czyszczenia tych odpadków oraz innych pustych wpisów i skrótów: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpGvurF9zzOIyDLu5uOmkinzBq1bnef-187MIGsU70JH1D5wQ8I1HPbbgiU8eHg-HfpJ0HIqMd_gZGn8-WAp3VhEmC5jRDLM2fUkqlmJ-GJD9msztx10H29dePQibZsKT_lE7bwv8xRM_Zb83FdFuNYrCecXQcI, CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1451928047&z=4d8f4b76957462447566824gbz9wag6t3o7b1eaz9m&from=cor&uid=st250dm000-1bd141_5vy93k1pxxxx5vy93k1p" FF NewTab: Mozilla\Firefox\Profiles\x5pju775.default -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe GroupPolicy: Restriction GroupPolicyScripts: Restriction GroupPolicyScripts\User: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\Run: [AdobeBridge] => [X] S3 Hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2017-02-27] (LogMeIn Inc.) MSCONFIG\Services: GalaxyClientService => 3 MSCONFIG\Services: GalaxyCommunication => 3 MSCONFIG\Services: Hamachi2Svc => 2 MSCONFIG\Services: iPod Service => 3 MSCONFIG\Services: LMIGuardianSvc => 2 MSCONFIG\Services: TunnelBearMaintenance => 2 HKLM\...\StartupApproved\Run: => "CMD" HKLM\...\StartupApproved\Run: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0" HKLM\...\StartupApproved\Run32: => "PlaysTV" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "screenSHU" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "TunnelBear" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "Plex Media Server" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "MyImgur" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "AdobeBridge" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\5ef7ea3b.tmp C:\Program Files (x86)\7dcianqrua.dat C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic II\Usu* - Noc Kruka.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\AT&T WorldNet.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Bot Commands.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Check for Quake III Arena Updates.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Help System.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Play Quake III Arena.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Q3A Community C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The You Testament C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valendor PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot Beta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindBot 11 Beta.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindAddons\Wind Addons.lnk C:\Users\nikodem\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\nikodem\AppData\Roaming\system.xml C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\18c7e66df9434f18\TibiaME MMO.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic\GOTHIC2 - Odyseja - 'Pakiet systemowy' C:\Users\nikodem\Documents\XenoScan-master\bin\test.lnk C:\Windows\system32\drivers\Hamdrv.sys File: C:\Users\nikodem\AppData\Local\slack\Update.exe CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj rozszerzenie Video Downloader professional. To rozszerzenie znane ze zintegrowanego adware. Np. powodowało taki problem z naszym forum: KLIK. Są też rozszerzenia z jednej stajni (maskowane jako różni producenci): Flash Video Downloader + Speed Dial [FVD] - one także pochodzą od wątpliwego producenta, który lubił wstawiać w rozszerzeniach adware, obecnie nie wiem czy te rozszerzenia są czyste Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  21. Problemem są zasady grupy blokujące funkcje Chrome. Jeśli chodzi o reklamy, to jedyne co się rzuca w oczy to podejrzane rozszerzenie SoccerSpecific (nie ma go w Chrome Web Store). Przy okazji do usunięcia będą różne szczątki programowe oraz korygowany poniższy błąd: Dziennik System: ============= Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki bezpieczeństwa): Adobe AIR, Adobe Download Assistant, Adobe Shockwave Player 12.0, Java 8 Update 101 (64-bit), Java 8 Update 101, Java 8 Update 111 (64-bit), Java SE Development Kit 8 Update 111 (64-bit), Windows Live ID Sign-in Assistant. Ponadto, coś jest nie tak ze Skype + Skype Click to Call, widnieje jako zainstalowany, podczas gdy w raportach masa odczytów "brak pliku", więc usuń go również i na razie nie instaluj ponownie (poniższy skrypt usuwa szczątki). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <==== UWAGA GroupPolicy\User: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKU\S-1-5-21-2717253058-3565486889-724126867-1000\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.sweetpacks-search.com/?barid=&src=10&&st=23" CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono> URLSearchHook: HKLM-x32 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} URLSearchHook: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918154947626&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918155103627&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2717253058-3565486889-724126867-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-2717253058-3565486889-724126867-1000\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-18\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" R2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) S3 Desura Install Service; C:\Program Files (x86)\Common Files\Desura\desura_service.exe [X] S3 IDriverT; "C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe" [X] S3 w7Svc; E:\webcam 7\webcam7.Service.exe /startedbyscm:5053B757-40E35B3B-webcam7SRV [X] <==== UWAGA MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\startupreg: ALLPlayer WiFi Remote => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe MSCONFIG\startupreg: ALLUpdate => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" MSCONFIG\startupreg: ChomikBox => C:\Program Files (x86)\ChomikBox\chomikbox.exe MSCONFIG\startupreg: Clownfish => "C:\Program Files (x86)\Clownfish\Clownfish.exe" MSCONFIG\startupreg: Denzi => C:\Program Files (x86)\Denzi\Launcher.bat --wait MSCONFIG\startupreg: Facebook Update => "C:\Users\Nexa\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver MSCONFIG\startupreg: Napisy24Update => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun MSCONFIG\startupreg: SSDMonitor => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {01836B17-9FF4-463B-9FDA-931E8CAD83B5} - System32\Tasks\{D80316E3-93E0-49FC-9B4A-5499A8B7DF75} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\dxwebsetup(pobierz.pl).exe -d C:\Users\Nexa\Desktop Task: {097877E8-C6E8-439C-90BA-31BAE26C7A2B} - System32\Tasks\{5F9C9B7C-E74B-4406-8B0A-5A3B0FFE1231} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.6.11.105/pl/abandoninstall?page=tsProgressBar Task: {0C7BC51A-16FA-4B4A-87A2-2E79058CE454} - System32\Tasks\{778BD6DA-0F82-49A0-B408-9D29C1C29477} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {14AF14AE-AC74-4093-AA2F-E3704E90FA8A} - System32\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03} => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exe <==== UWAGA Task: {1A31F3E5-A834-47CE-904D-08E28842F2F1} - System32\Tasks\{24CEF27D-2B52-43A3-AC5C-169C5A797BB3} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {353371D6-E027-4F1A-9873-BBA272C384D1} - System32\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {3723F5F5-6470-40AC-B8D0-F8098A0EDBF3} - System32\Tasks\{ABA96075-ABF9-4C28-95F2-AD4F5D7C55A5} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {466D2590-C398-4F1C-B459-4233AB59D838} - System32\Tasks\{A328AB4E-6E47-4430-99EE-6A2384DA3D9D} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {5B8FA0E3-4619-44D1-8701-6A9242299B09} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {5D5A5364-3F40-4DEB-BB6B-DEEC572E21BD} - System32\Tasks\{7D6A4CB8-0F1F-4FEE-89A5-66BFA2A15061} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\{4146CD70-9C94-446B-90DF-8F0713B97520}\adobeshockwavextrabundle.exe -d "C:\Program Files (x86)\Google\Chrome\Application\20.0.1132.57" -c /xtrabundle=SwaStrm <==== UWAGA Task: {61A9BBC4-4F01-4EDA-B8FE-850A7B6D8F2F} - System32\Tasks\{62A4634F-A112-4FE1-A976-5E9509023F91} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl\PlanoPro.exe" -d "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl" Task: {9A0E4DEB-FFAE-43B2-A70C-70FF836DA836} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {9B30A3B4-0C65-4825-A0C7-1BF43955563D} - System32\Tasks\{D5F2D09D-9B0A-4BBD-8DD1-8C8D7D3BE2B1} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\Temp1_InstallerR12.043DEMO.zip\setup.exe <==== UWAGA Task: {B571825C-9ED8-43A8-A289-451737F7A7C5} - System32\Tasks\{E8555CAC-6232-498C-8978-131EA7DA0816} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Downloads\HamachiSetup-1.0.0.50-en.exe -d C:\Users\Nexa\Downloads Task: {BB5E5E6A-5AC8-4301-85D0-DD79F6F39824} - System32\Tasks\{CF423214-C7AA-49C5-B745-605150E21B89} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/5.10.11.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {BCE7BBED-A05A-4CCB-905C-3C8604DE3574} - System32\Tasks\{00820018-BB0C-4A9B-959F-10CFDF91E66F} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe -d C:\Users\Nexa\Desktop\szczepan Task: {BF57A5AB-BC79-41CB-A5B2-B9CCC5211D97} - System32\Tasks\{8E63DAF6-DBC6-4D45-A5E7-764F5AA6E41C} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {C49E3095-6FA5-4894-BA71-EC9B59649DAE} - System32\Tasks\{73CA13D0-D61B-4CE7-A1FB-7DF0E7140F15} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Symulator Farmy 2011\GDFInstall.exe" -d "C:\Users\Nexa\Desktop\Symulator Farmy 2011" Task: {C56B889C-C9CA-4C72-9C10-CEA78E096625} - System32\Tasks\{70FF0F12-AE03-42F8-99AD-577B7C00181E} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {C5EB9689-C5D3-4023-83A9-BF3F1D3BBFF4} - System32\Tasks\{5789A4A7-9BC5-4C4E-AEFE-932B0DCE48DC} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Enchanting Plus Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: {C85BDDFB-6C57-4EFA-940C-BDF1E1D690C3} - System32\Tasks\{262C472F-AC77-4D50-9E0E-757962A65C90} => C:\Windows\system32\pcalua.exe -a F:\menu.exe -d F:\ Task: {E9C243F8-9D9D-4597-9E08-CF7DEC4B84AC} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {EE20716B-9476-4404-93BD-B91F0D4B789F} - System32\Tasks\{A4BAC895-291F-49E7-9EFC-32A287C9B087} => C:\Program Files (x86)\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {F117EC78-4768-4ADC-BAB7-DDD1883BE329} - System32\Tasks\{04A23D1D-19FD-48EF-80A3-443980CAAABC} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {FED8E007-1A28-493E-8685-CD6DB82340C8} - System32\Tasks\{1852A8D7-26FC-4656-BD45-AB11A5C1FF84} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Balkons Weapon Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: C:\Windows\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03}.job => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exeN/schedule /profilepath C:\ProgramData\Premium\GadgetBox Updater\profile.ini <==== UWAGA Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\Windows\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\Windows\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe CustomCLSID: HKU\S-1-5-21-2717253058-3565486889-724126867-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Nexa\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Common Files\PC Tools C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Clownfish C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DJ Mixer Professional for Win C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Dev Tycoon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Minecraft Pingwin Pack 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IQ Publishing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Moorhuhn Soccer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Registry Mechani C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Plano RS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ski Region Simulator 2012 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STV Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Terraria C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcam 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcamXP 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\Nexa\Skype.lnk C:\Users\Nexa\AppData\Local\{*} C:\Users\Nexa\AppData\Local\updater.log C:\Users\Nexa\AppData\Local\UserProducts.xml C:\Users\Nexa\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Nexa\AppData\Roaming\Thumbs.db C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Robocraft C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Public\Desktop\Ashampoo Deals.url C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* C:\Windows\system32\Drivers\*.tmp StartBatch: netsh advfirewall reset netsh ipconfig /flushdns netsh winsock reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. W pasku adresów wklep po kolei chrome://extensions i chrome://apps. Wyszukaj na listach SoccerSpecific i odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.
  22. Na razie nie widzę nic aktywnego, tylko szczątki malware w Harmonogramie (zadania są puste). Przed usuwaniem dostarcz więcej danych: vs. ==================== Konta użytkowników: ============================= dylaN (S-1-5-21-1947299008-2126829087-4161886784-1004 - Administrator - Enabled) => C:\Users\dylaN Michal (S-1-5-21-1947299008-2126829087-4161886784-1001 - Administrator - Enabled) => C:\Users\Michal Na którym koncie problem zaistniał w pierwszej kolejności? Zostały tu dostarczone raporty z konta Michal, należy także dostarczyć nowy skan FRST.txt + Addition.txt z konta dylaN, wykonany po pełnym restarcie (nie po użyciu opcji Wyloguj czy Przełącz użytkownika). Ponadto pokaż też raport z MBAM co było usuwane.
  23. Tak, skrypt powyżej zmodyfikowałam. Wycięłam też ze skryptu sprawdzanie na VirusTotal poniższego pliku, to plik Asus i domyślnie nie ma producenta. Task: {D612682F-3494-4EFA-A4E8-32C578F10D30} - System32\Tasks\ASUS\RunDAOD => C:\Windows\DAODx.exe [2009-03-30] () Przy okazji dodałam kilka innych wpisów w ramach kosmetyki (tak, usuwanie strony Google, bo obecnie jest obsługiwany tylko wariant https).
  24. Temat przenoszę do stosownego działu Windows. Kuchta: Usuwam ten zły link. ugetfix.com to lewy serwis promujący niepożądane aplikacje typu "Reimage Repair". Wg Dziennika zdarzeń sprawa się kręciła wokół SW_PROV: Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 13) (User: ) Description: Informacje Usługi kopiowania woluminów w tle: nie można uruchomić serwera usługi COM z identyfikatorem CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} i nazwą SW_PROV. [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Sprawdzałeś inną usługę wymienianą w usuniętym już linku, czyli Kopiowanie woluminów w tle (VSS). A wg błędu prędzej należało sprawdzić stan usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft (swprv): HKLM\SYSTEM\CurrentControlSet\Services\swprv System przeinstalowany, nie masz już pewnie kopii rejestru C:\FRST\Hives. Ale jeśli jest, wyłuskaj plik SYSTEM i prześlij do wglądu. To błąd w FRST, usługa nie filtrowana + flagowana określoną rutyną na odpadkowe usługi. Te usługi *UserSvc_* domyślnie nie mają ServiceDLL i powinny być ukryte na liście filtrowania. Farbar jest na wakacjach i nie może tego naprawić.
×
×
  • Dodaj nową pozycję...