picasso

Problemem są zasady grupy blokujące funkcje Chrome. Jeśli chodzi o reklamy, to jedyne co się rzuca w oczy to podejrzane rozszerzenie SoccerSpecific (nie ma go w Chrome Web Store). Przy okazji do usunięcia będą różne szczątki programowe oraz korygowany poniższy błąd: Dziennik System: ============= Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki bezpieczeństwa): Adobe AIR, Adobe Download Assistant, Adobe Shockwave Player 12.0, Java 8 Update 101 (64-bit), Java 8 Update 101, Java 8 Update 111 (64-bit), Java SE Development Kit 8 Update 111 (64-bit), Windows Live ID Sign-in Assistant. Ponadto, coś jest nie tak ze Skype + Skype Click to Call, widnieje jako zainstalowany, podczas gdy w raportach masa odczytów "brak pliku", więc usuń go również i na razie nie instaluj ponownie (poniższy skrypt usuwa szczątki). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <==== UWAGA GroupPolicy\User: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKU\S-1-5-21-2717253058-3565486889-724126867-1000\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.sweetpacks-search.com/?barid=&src=10&&st=23" CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono> URLSearchHook: HKLM-x32 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} URLSearchHook: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918154947626&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918155103627&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2717253058-3565486889-724126867-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-2717253058-3565486889-724126867-1000\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-18\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" R2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) S3 Desura Install Service; C:\Program Files (x86)\Common Files\Desura\desura_service.exe [X] S3 IDriverT; "C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe" [X] S3 w7Svc; E:\webcam 7\webcam7.Service.exe /startedbyscm:5053B757-40E35B3B-webcam7SRV [X] <==== UWAGA MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\startupreg: ALLPlayer WiFi Remote => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe MSCONFIG\startupreg: ALLUpdate => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" MSCONFIG\startupreg: ChomikBox => C:\Program Files (x86)\ChomikBox\chomikbox.exe MSCONFIG\startupreg: Clownfish => "C:\Program Files (x86)\Clownfish\Clownfish.exe" MSCONFIG\startupreg: Denzi => C:\Program Files (x86)\Denzi\Launcher.bat --wait MSCONFIG\startupreg: Facebook Update => "C:\Users\Nexa\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver MSCONFIG\startupreg: Napisy24Update => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun MSCONFIG\startupreg: SSDMonitor => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {01836B17-9FF4-463B-9FDA-931E8CAD83B5} - System32\Tasks\{D80316E3-93E0-49FC-9B4A-5499A8B7DF75} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\dxwebsetup(pobierz.pl).exe -d C:\Users\Nexa\Desktop Task: {097877E8-C6E8-439C-90BA-31BAE26C7A2B} - System32\Tasks\{5F9C9B7C-E74B-4406-8B0A-5A3B0FFE1231} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.6.11.105/pl/abandoninstall?page=tsProgressBar Task: {0C7BC51A-16FA-4B4A-87A2-2E79058CE454} - System32\Tasks\{778BD6DA-0F82-49A0-B408-9D29C1C29477} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {14AF14AE-AC74-4093-AA2F-E3704E90FA8A} - System32\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03} => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exe <==== UWAGA Task: {1A31F3E5-A834-47CE-904D-08E28842F2F1} - System32\Tasks\{24CEF27D-2B52-43A3-AC5C-169C5A797BB3} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {353371D6-E027-4F1A-9873-BBA272C384D1} - System32\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {3723F5F5-6470-40AC-B8D0-F8098A0EDBF3} - System32\Tasks\{ABA96075-ABF9-4C28-95F2-AD4F5D7C55A5} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {466D2590-C398-4F1C-B459-4233AB59D838} - System32\Tasks\{A328AB4E-6E47-4430-99EE-6A2384DA3D9D} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {5B8FA0E3-4619-44D1-8701-6A9242299B09} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {5D5A5364-3F40-4DEB-BB6B-DEEC572E21BD} - System32\Tasks\{7D6A4CB8-0F1F-4FEE-89A5-66BFA2A15061} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\{4146CD70-9C94-446B-90DF-8F0713B97520}\adobeshockwavextrabundle.exe -d "C:\Program Files (x86)\Google\Chrome\Application\20.0.1132.57" -c /xtrabundle=SwaStrm <==== UWAGA Task: {61A9BBC4-4F01-4EDA-B8FE-850A7B6D8F2F} - System32\Tasks\{62A4634F-A112-4FE1-A976-5E9509023F91} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl\PlanoPro.exe" -d "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl" Task: {9A0E4DEB-FFAE-43B2-A70C-70FF836DA836} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {9B30A3B4-0C65-4825-A0C7-1BF43955563D} - System32\Tasks\{D5F2D09D-9B0A-4BBD-8DD1-8C8D7D3BE2B1} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\Temp1_InstallerR12.043DEMO.zip\setup.exe <==== UWAGA Task: {B571825C-9ED8-43A8-A289-451737F7A7C5} - System32\Tasks\{E8555CAC-6232-498C-8978-131EA7DA0816} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Downloads\HamachiSetup-1.0.0.50-en.exe -d C:\Users\Nexa\Downloads Task: {BB5E5E6A-5AC8-4301-85D0-DD79F6F39824} - System32\Tasks\{CF423214-C7AA-49C5-B745-605150E21B89} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/5.10.11.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {BCE7BBED-A05A-4CCB-905C-3C8604DE3574} - System32\Tasks\{00820018-BB0C-4A9B-959F-10CFDF91E66F} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe -d C:\Users\Nexa\Desktop\szczepan Task: {BF57A5AB-BC79-41CB-A5B2-B9CCC5211D97} - System32\Tasks\{8E63DAF6-DBC6-4D45-A5E7-764F5AA6E41C} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {C49E3095-6FA5-4894-BA71-EC9B59649DAE} - System32\Tasks\{73CA13D0-D61B-4CE7-A1FB-7DF0E7140F15} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Symulator Farmy 2011\GDFInstall.exe" -d "C:\Users\Nexa\Desktop\Symulator Farmy 2011" Task: {C56B889C-C9CA-4C72-9C10-CEA78E096625} - System32\Tasks\{70FF0F12-AE03-42F8-99AD-577B7C00181E} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {C5EB9689-C5D3-4023-83A9-BF3F1D3BBFF4} - System32\Tasks\{5789A4A7-9BC5-4C4E-AEFE-932B0DCE48DC} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Enchanting Plus Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: {C85BDDFB-6C57-4EFA-940C-BDF1E1D690C3} - System32\Tasks\{262C472F-AC77-4D50-9E0E-757962A65C90} => C:\Windows\system32\pcalua.exe -a F:\menu.exe -d F:\ Task: {E9C243F8-9D9D-4597-9E08-CF7DEC4B84AC} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {EE20716B-9476-4404-93BD-B91F0D4B789F} - System32\Tasks\{A4BAC895-291F-49E7-9EFC-32A287C9B087} => C:\Program Files (x86)\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {F117EC78-4768-4ADC-BAB7-DDD1883BE329} - System32\Tasks\{04A23D1D-19FD-48EF-80A3-443980CAAABC} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {FED8E007-1A28-493E-8685-CD6DB82340C8} - System32\Tasks\{1852A8D7-26FC-4656-BD45-AB11A5C1FF84} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Balkons Weapon Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: C:\Windows\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03}.job => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exeN/schedule /profilepath C:\ProgramData\Premium\GadgetBox Updater\profile.ini <==== UWAGA Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\Windows\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\Windows\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe CustomCLSID: HKU\S-1-5-21-2717253058-3565486889-724126867-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Nexa\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Common Files\PC Tools C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Clownfish C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DJ Mixer Professional for Win C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Dev Tycoon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Minecraft Pingwin Pack 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IQ Publishing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Moorhuhn Soccer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Registry Mechani C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Plano RS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ski Region Simulator 2012 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STV Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Terraria C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcam 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcamXP 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\Nexa\Skype.lnk C:\Users\Nexa\AppData\Local\{*} C:\Users\Nexa\AppData\Local\updater.log C:\Users\Nexa\AppData\Local\UserProducts.xml C:\Users\Nexa\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Nexa\AppData\Roaming\Thumbs.db C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Robocraft C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Public\Desktop\Ashampoo Deals.url C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* C:\Windows\system32\Drivers\*.tmp StartBatch: netsh advfirewall reset netsh ipconfig /flushdns netsh winsock reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. W pasku adresów wklep po kolei chrome://extensions i chrome://apps. Wyszukaj na listach SoccerSpecific i odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na razie nie widzę nic aktywnego, tylko szczątki malware w Harmonogramie (zadania są puste). Przed usuwaniem dostarcz więcej danych: vs. ==================== Konta użytkowników: ============================= dylaN (S-1-5-21-1947299008-2126829087-4161886784-1004 - Administrator - Enabled) => C:\Users\dylaN Michal (S-1-5-21-1947299008-2126829087-4161886784-1001 - Administrator - Enabled) => C:\Users\Michal Na którym koncie problem zaistniał w pierwszej kolejności? Zostały tu dostarczone raporty z konta Michal, należy także dostarczyć nowy skan FRST.txt + Addition.txt z konta dylaN, wykonany po pełnym restarcie (nie po użyciu opcji Wyloguj czy Przełącz użytkownika). Ponadto pokaż też raport z MBAM co było usuwane.

Tak, skrypt powyżej zmodyfikowałam. Wycięłam też ze skryptu sprawdzanie na VirusTotal poniższego pliku, to plik Asus i domyślnie nie ma producenta. Task: {D612682F-3494-4EFA-A4E8-32C578F10D30} - System32\Tasks\ASUS\RunDAOD => C:\Windows\DAODx.exe [2009-03-30] () Przy okazji dodałam kilka innych wpisów w ramach kosmetyki (tak, usuwanie strony Google, bo obecnie jest obsługiwany tylko wariant https).

Temat przenoszę do stosownego działu Windows. Kuchta: Usuwam ten zły link. ugetfix.com to lewy serwis promujący niepożądane aplikacje typu "Reimage Repair". Wg Dziennika zdarzeń sprawa się kręciła wokół SW_PROV: Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 13) (User: ) Description: Informacje Usługi kopiowania woluminów w tle: nie można uruchomić serwera usługi COM z identyfikatorem CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} i nazwą SW_PROV. [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Sprawdzałeś inną usługę wymienianą w usuniętym już linku, czyli Kopiowanie woluminów w tle (VSS). A wg błędu prędzej należało sprawdzić stan usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft (swprv): HKLM\SYSTEM\CurrentControlSet\Services\swprv System przeinstalowany, nie masz już pewnie kopii rejestru C:\FRST\Hives. Ale jeśli jest, wyłuskaj plik SYSTEM i prześlij do wglądu. To błąd w FRST, usługa nie filtrowana + flagowana określoną rutyną na odpadkowe usługi. Te usługi *UserSvc_* domyślnie nie mają ServiceDLL i powinny być ukryte na liście filtrowania. Farbar jest na wakacjach i nie może tego naprawić.

URL wklejek tekstowych nie mają znaczenia w kontekście sprawy tu podnoszonej (nie produkują komunikatu o "mieszanej zawartości").

Sprawa rozwiązana przedwczoraj, obecnie przekierowanie czynne. Dodatkowo na wszelki wypadek nowy certyfikat z uwzględnieniem kombinacji, jeżeli przekierowanie zostanie zdjęte.

Skoro masz dostęp do środowiska zewnętrznego typu Reatogo, to poproszę o raport z FRST. Reatogo-x-pe posiada graficzny interfejs, więc sprawa się ogranicza do uruchomienia przez dwuklik FRST zlokalizowanego na pendrive. FRST umożliwia łatwe przywracanie rejestru XP (na nowszych systemach jest to awykonalne). O ile tu problemem jest rejestr. Ponadto raport z FRST może coś więcej powiedzieć.

Te foldery nie są szkodliwe. Folder {01BD4FC9-2F86-4706-A62E-774BB7E9D308} to pozostałość po instalacji AVG (w środku instalator programu AVG), a reszta jest pusta i nic nie robi. Wszystko można usunąć. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} RemoveDirectory: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynkowy fixlog.txt.

Skoro problem jest zarówno w Chrome jak i Steam, to przyczyna nie jest w obszarze przeglądarki i być może właśnie DNS i/lub jego bufor to clou. A Firefox tu w ogóle nie jest zainstalowany, więc Fix z posta #4 nie miał żadnego znaczenia. Kolejna sprawa to dużo domyślnych usług Windows bez podpisu cyfrowego: S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [111104 2014-10-29] (Microsoft Corporation) [File not signed] S3 EFS; C:\Windows\system32\efssvc.dll [41472 2014-10-29] (Microsoft Corporation) [File not signed] S3 fhsvc; C:\Windows\system32\fhsvc.dll [121856 2014-10-29] (Microsoft Corporation) [File not signed] S4 SCardSvr; C:\Windows\System32\SCardSvr.dll [194048 2014-10-29] (Microsoft Corporation) [File not signed] S3 ScDeviceEnum; C:\Windows\System32\ScDeviceEnum.dll [131072 2014-10-29] (Microsoft Corporation) [File not signed] S3 SCPolicySvc; C:\Windows\System32\certprop.dll [156160 2014-10-29] (Microsoft Corporation) [File not signed] R2 Winmgmt; C:\Windows\system32\wbem\WMIsvc.dll [230400 2014-10-29] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [2608640 2014-10-29] (Microsoft Corporation) [File not signed] S3 wlidsvc; C:\Windows\system32\wlidsvc.dll [1639424 2014-10-29] (Microsoft Corporation) [File not signed] S3 wmiApSrv; C:\Windows\system32\wbem\WmiApSrv.exe [201728 2014-10-29] (Microsoft Corporation) [File not signed] 1. Z klawiatury klawisz z flagą Windows + X > Połączenia sieciowe > Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na połączenie > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Z klawiatury klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę sfc /scannow i ENTER. Gdy skan zostanie ukończony: 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: ipconfig /flushdns netsh advfirewall reset findstr /c:"[SR]" %windir%\logs\cbs\cbs.log EndBatch: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: BootExecute: sdnclean64.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing StartMenuInternet: IEXPLORE.EXE - iexplore.exe ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKLM\...\StartupApproved\Run32: => "HP Software Update" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Pjeruk\AppData\Local\Mozilla C:\Users\Pjeruk\AppData\Roaming\Mozilla C:\Windows\System32\config\systemprofile\appdata\local\installationconfiguration.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart Przedstaw wynikowy fixlog.txt. I wypowiedz się czy problem przekierowań nadal występuje.

To rozszerzenie w skrypcie ma odnośnik do jakieś dziwnej strony, która się nawet nie ładuje (simple-finder.com). Rozszerzenie usunięte, czy są jakieś zmiany? Jeśli nie, to nie widzę nic więcej. Wprawdzie jest w Firefox też rozszerzenie Yahoo, ale to oficjalny add-on Yahoo hostowany też na Mozilla Add-ons i nie powinien produkować porno. W przypadku braku rezultatów zresetuj Firefox: w pasku adresów wklep about:support i ENTER, wybierz opcję odświeżenia. Reset przeglądarki nie usuwa haseł i zakładek, ale wszystkie rozszerzenia pójdą do piachu (do reinstalacji). Co masz na myśli? Brakuje danych?

Jak mówiłam, "Quick Searcher" jest podejrzany, przekierowania nadal są, bo nic się nie wykonało ze skryptu. Zabij proces FRST, następnie: 1. Przekopiuj poniższy folder na Pulpit, spakuj ręcznie i dostarcz do ręcznej analizy. C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 2. Następnie wytnij tę linię Zip: ze skryptu i uruchom skrypt.

Reinstalacja przeglądarki nie usuwa profilu Firefox z dysku, a od wielu już wersji nie ma opcji w instalatorze Mozilla, by zaznaczyć usunięcie profilu. To rozszerzenie przeportowane z Chrome jest podejrzane (nie mogę go znaleźć na Mozilla Add-ons, wygląda na adware/PUP): FF Extension: (Quick Searcher) - C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2017-08-30] Ponadto jest jakiś niedomyślny plik user.js o nieznanej zawartości. I jeszcze poprawki na inne śmieci. 1. Odinstaluj AVG TuneUp (firmowy PUP) oraz Dll-Files Fixer (program wątpliwej reputacji). Niestety AVG TuneUp jest uszkodzony - to skutek uboczny użycia AdwCleaner, na chama usuwał foldery z dysku zostawiając śmietnik w rejestrze. Należało go najpierw normalnie odinstalować, a dopiero po tym użyć AdwCleaner... Prawdopodobnie jednak AVG TuneUp jest tak uszkodzony, że wejście nie będzie reagować. Potem się tym ewentualnie zajmiemy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: netsh advfirewall reset CMD: type C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js Zip: C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E2055F0-0870-4141-B270-6EEA055F6394}&mid=9c02c083121a47cc905b69de1c6349fd-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=de&ds=AVG&coid=avgtbavg&cmpid=0717tb&pr=fr&d=2016-07-25 21:28:10&v=4.3.8.510&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll => Keine Datei HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Web TuneUp\vprot.exe" ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Keine Datei ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Keine Datei DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions FF SelectedSearchEngine: Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211 -> Bing C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\user.js C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\searchplugins C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\85pf4r00.default-1425491253211\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Windows\system32\Tasks\AVAST Software RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Na Pulpicie powstał plik ZIP - shostuj gdzieś i prześlij mi link do tego pliku.

Proszę załącz trzy raporty z FRST (FRST.txt, Addition.txt, Shortcut.txt) w postaci załączników forum. Nie wklejaj raportów FRST do posta.

Czynnej infekcji brak, do usunięcia będą tylko drobne odpadki po odinstalowanych programach. Natomiast jeśli chodzi o detekcję AdwCleaner, to jest prawdopodobne że część folderów wcale nie jest szkodliwa. Np. jeden z ciągów jest charakterystyczny dla instalacji BitDefender. W skrypcie FRST dołączę komendy sprawdzania co jest w tych folderach. 1. Odinstaluj Adobe Flash Player 26 NPAPI, to wersja dla linii Mozilla (brak Firefoxa w systemie). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 Trufos; C:\Windows\System32\DRIVERS\TRUFOS.sys [520032 2016-11-02] (BitDefender S.R.L.) MSCONFIG\startupfolder: C:^Users^Maciej^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk => C:\Windows\pss\MyPC Backup.lnk.Startup MSCONFIG\startupreg: Advanced SystemCare Ultimate => "C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASCTray.exe" /Auto MSCONFIG\startupreg: ares => "C:\Program Files (x86)\Ares\Ares.exe" -h MSCONFIG\startupreg: FixCamera => MSCONFIG\startupreg: IObit Malware Fighter => "C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe" /autostart MSCONFIG\startupreg: Komunikator => C:\Program Files (x86)\Tlen.pl\tlen.exe MSCONFIG\startupreg: Malwarebytes TrayApp => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe MSCONFIG\startupreg: MotoCast => MSCONFIG\startupreg: Nvtmru => MSCONFIG\startupreg: SDTray => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" MSCONFIG\startupreg: SpybotPostWindows10UpgradeReInstall => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe" MSCONFIG\startupreg: tsnpstd3 => MSCONFIG\startupreg: WinampAgent => "C:\Program Files (x86)\Winamp\Winampa.exe" ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> Brak pliku ContextMenuHandlers1: [iObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => -> Brak pliku ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku Task: {7972D1C0-6018-4427-AB70-88E4AF008CE6} - System32\Tasks\ASCU10_SkipUac_Maciej => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASC.exe Task: {AB3FC8B5-4F8A-425E-833F-831E43626ADD} - System32\Tasks\{0146F64C-7D84-46A1-AE4C-F4B7FDA6D712} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Games\Call of Atlantis Treasures of Poseidon CE\Uninstall.exe" Task: {CE203930-0DC2-4748-8992-4CCE8B4DBDF1} - System32\Tasks\ASCU10_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\Monitor.exe Task: {EECDC594-8F1A-4C88-9490-81468EA13B08} - System32\Tasks\{AA203FB5-229E-4B6C-93F1-3766330FA399} => C:\Windows\system32\pcalua.exe -a C:\Users\Maciej\Downloads\JDownloader2Setup64Bit.exe -d C:\Users\Maciej\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-119396996-3710650731-1695599349-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crytek Studios C:\Users\Maciej\AppData\Roaming\temp.ini C:\Users\Maciej\AppData\Local\housecall.guid.cache C:\Windows\System32\DRIVERS\TRUFOS.sys Folder: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} Folder: C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} Folder: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} Folder: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} Folder: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Kolejna porcja czynności: 1. Skoro korzystasz tylko z Chrome, odinstaluj Operę. 2. Doczyszczanie drobnych odpadków po odinstalowanych aplikacjach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] Task: {3E94D414-626F-472C-BB40-825C599EAE10} - System32\Tasks\{E792CDE9-C748-4B81-A0BA-73AEA7B57F9A} => C:\Windows\system32\pcalua.exe -a D:\AutoRunPro.exe -d D:\ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia C:\Program Files (x86)\Driver Updater Plus C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SrpnFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Updater Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Purifier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\Users\Lenovo\AppData\Local\{BBE99551-C258-4226-8F64-117CA323B426} C:\Users\Lenovo\AppData\Local\Mozilla C:\Users\Lenovo\AppData\Roaming\Mozilla C:\Windows\Reimage.ini DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: netsh adfvfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. W raportach nie widać żadnych aktywnych obiektów adware, więc jeśli problem reklam w Chrome nadal istnieje, nie jest wykluczone że któreś rozszerzenie za to odpowiada. Po odrzuceniu rozszerzeń poprawnych i ze starą datą modyfikacji to rozszerzenie wydaje się mocno podejrzane i nie mogę go znaleźć w Chrome Web Store: CHR Extension: (Daily Horoscopes) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnbhlpceecpkhkgebgmnjooilcpofmee [2017-04-17] W Google Chrome w pasku adresu wklep chrome://extensions oraz chrome://apps i ENTER. Wyszukaj to rozszerzenie i je odinstaluj. Uruchom ponownie Google Chrome i podaj rezultaty czy reklamy nadal występują.

W której przeglądarce występują reklamy, Chrome czy Opera czy w obu? Na początek wykonaj podstawowe deinstalacje tego co jest widoczne: 1. Odinstaluj: Adobe Flash Player 26 NPAPI (wersja dla Firefox, który nie jest zainstalowany), Browser-Security, Driver Updater Plus, McAfee Security Scan Plus, PC Purifier, Reimage Repair, SrpnFiles. W przypadku błędów deinstalacji kontynuuj, doczyszczę wpisy ręcznie w kolejnym podejściu. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Wypowiedz się czy deinstalacje wpłynęły na ustąpienie problemu.

Głównym URL forum jest adres z www. Z tematu Migracji na https:

Avast zablokował przekierowanie, więc w porządku. W raportach brak oznak infekcji. PS. Możesz wykonać drobne działania poboczne: 1. W Google Chrome odinstaluj wątpliwe rozszerzenia: Unlimited Free VPN - Hola (niebezpieczne rozszerzenie relatywne do aktywności para-botnet), Video Downloader professional (wątpliwy producent, możliwe adware). 2. Czyszczenie wpisów szczątkowych i Tempów: 3. Odinstaluj starą wersję Adobe Flash Player 21 NPAPI i zastąp najnowszą: KLIK.

Pytaniem jest: skąd wiesz, że wirus Sality jest w systemie? W raportach brak oznak infekcji. A ZHPCleaner (w zasadzie tu nie stosowany) w ogóle nie służy do detekcji wirusów w wykonywalnych. Do detekcji tego wirusa służy skaner AV. Przy wirusie Sality należy formatować wszystkie dyski, które były dostępne podczas infekcji (a nie tylko partycję z Windows) i nie wolno kopiować żadnych plików wykonywalnych (instalki, sterowniki) do kopii zapasowej.

GMER został usunięty z obowiązkowych raportów prezentowanych w dziale diagnostyki malware, z następujących powodów: - Trend spadkowy, coraz mniej infekcji tego rodzaju. Właściwie w ostatnim czasie widziana tylko jedna infekcja tu na forum. - Zgodność narzędzia kończy się na Windows 10 RTM, na nowszych edycjach zintensyfikowane dewiacje i problemy. - Dużo fałszywych alarmów, które niepokoją użytkowników. Wszystkie przyklejone tematy dostosowane do nowej sytuacji, zaś ogłoszenie o emulatorach napędów wirtualnych wyłączone (jego treść na wszelki wypadek wstawiona do tematu z instrukcjami tworzenia raportu GMER). Gdy zajdzie potrzeba wykonania ekstra skanu anty-rootkit, użytkownik zostanie poinstruowany w tej materii.

Temat przenoszę do działu diagnostyki infekcji. Dostarcz obowiązkowe raporty z FRST.

Jest to pierwszy przypadek takiej interpretacji tutaj. Jak mówiłam: Swoją drogą, ta notatka nie jest w ogóle widziana podczas edycji posta przez użytkownika. Takiej opcji nie ma. Natomiast jest możliwość blokady edycji po predefiniowanym czasie, dla określonych grup. Ta koncepcja miała być przeze mnie wprowadzona kilka lat temu (gdy pojawiły się pierwsze symptomy wymazywania treści postów przez użytkowników), ale w tamtym czasie spotkało się to z opozycją. Być może w przyszłości wrócę do tej koncepcji.

Narzędzie moderatora w standardzie IPB: To jest notatka moderatora która nie jest dostępna do edycji przez użytkownika, ale użytkownik edytujący później post może ją "ukryć". Moderator ma obowiązek zasygnalizować, że edytował post, co uczynił zaznaczając opcję "Wyświetl linię Edytowane przez". Ta linia dynamicznie zmienia nicki wg kolejności edycji. Oczywiście, że "Edytowane przez..." ustawi się na Twój nick, jeśli zedytujesz post później niż moderator - to nie jest "manipulacja moderatora" czy "błąd w kodzie". Ta linia jest niezależna od istniejącej notatki moderacyjnej i mówi kto był ostatnią osobą edytującą post, a nie kto był autorem notatki moderacyjnej (informacje są tożsame tylko gdy jedyną edycją była edycja moderatora). On nic nie zmienił po Twojej edycji, Twoja edycja definitywnie była ostatnią. A gdybyś odznaczył opcję "Wyświetl linię...", notatka moderatora zostałaby ukryta. Jedyne co można zasugerować, to by się podpisywał "dwa razy" (jak ja to robię, by właśnie uniknąć efektu jaki stworzyłeś), tzn. nie tylko zaznaczone "Wyświetl linię Edytowane przez", ale także i nick moderatora w notatce per se: Proszę pisać na temat. //picasso Testową notatkę takiego typu zaprezentował inny moderator w Twoim pierwszym poście tutaj. PS. W temacie Migracji na https prosiłam by unikać hostingów obrazków działających w http, bo to powoduje ostrzeżenie o "Mieszanej zawartości".

Temat sprzed ponad roku i mający charakter tylko i wyłącznie zawiadomienia administracyjnego na temat zmiany w ekipie. Zażalenia na temat pracy moderatorów zgłasza się poprzez funkcję Raportuj lub nowy temat. Ten temat również zostaje zamknięty, gdyż wszystko wyjaśnione.

Powody: wątki nieaktualne / rozwiązane, brak nowych zgłoszeń od długiego czasu (aktualizacja forum), dyskusja nie przewidziana (np. temat w którym raportuję problemy dostawcy).