picasso

Można jeszcze powyłączać określone wpisy startowe oraz owszem wymienić antywirusa (np. Webroot SecureAnywhere Antivirus lub Panda Cloud Antivirus). Odpowiadam po długim czasie, więc muszę mieć nowe raporty FRST zrobione "z teraz".

Jeśli chodzi o listę zaszyfrowanych plików, to można wyrzucić pliki nieistotne będące składową instalacji programów. Niestety z ważnymi plikami użytkownika nic nie da się zrbić. 1. Ważne zaszyfrowane pliki skopiuj z C na jakiś odrębny nośnik. Akcja tylko na wszelki wypadek, bo nie ma żadnych szans na odszyfrowanie danych. 2. Usuń wszystkie pozostałe pliki. Otwórz Notatnik i wklej w nim: CMD: del /f /q /s C:\*.itqjnld Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt może się bardzo długo wykonywać. Przedstaw wynikowy fixlog.txt. 3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić, że brak już wyników.

Przejrzałam listę zaszyfrowanych plików. Pozbądź się określonych plików które nie są istotne (pliki tekstowe / dokumenty zainstalowanych programów). 1. Na początek na wszelki wypadek istotne pliki użytkownika, które zostały zaszyfrowane, przenieś z dysku C i pozostałych na osobny nośnik. Ale nie ma szans na dekrypcję. I nic więcej nie da się zrobić. 2. Otwórz Notatnik i wklej w nim: CMD: attrib -h -s C:\*.fafktzg /s CMD: del /q /s C:\*.fafktzg CMD: del /q /s "C:\Decrypt All Files fafktzg.bmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt robi rekursywne usuwanie wszelkich plików z sufiksem *.fafktzg, dlatego może się bardzo długo wykonywać. Pokaż fixlog.txt. 3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić czy coś jeszcze widzi na dysku C.

Proponuję więc testową deinstalację tego oprogramowania, by się przekonać czy wprowadzi to jakieś zmiany. PS. Fix FRST wykonany. Możesz skorzystać z DelFix.

MBAM wykrył nieco więcej, bo zapomniałam na śmierć, że usuwanie równoległe z obu kont na raz wymaga załadowania obu kont. Te drobne klucze rejestru doczyść za pomocą MBAM. Poza tym, wszystko wykonane.Jeszcze sprawdź czy widzi coś AdwCleaner w trybie Szukaj.

Bassyll, zasady działu na temat obowiązujących raportów: KLIK. OTL nie jest brany pod uwagę, należy dostarczyć FRST i GMER.

Zoozka, jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić wypowiedź, proszę stosuj funkcję Edytuj,, zamiast pisać post pod postem. Skleiłam powyższe odpowiedzi. Wracając do problemu: nie wiem do końca jakie elementy bierze pod uwagę ten test online, choć wydawało mi się, że test jest wykonywany pod kątem właśnie owego "Remote". Moim zdaniem po wyczyszczeniu DNS, upgradzie firmware oraz wykonaniu edycji w Remote Management + Local Management w połączeniu ze zmianą haseł na niestandardowe nie ma co więcej konfigurować i nie wiem dlaczego to nie jest skuteczne w Twoim przypadku. Jeśli nadal jest problem z wynikami testu oraz MBAM uporczywie zgłaszającym próby podmiany DNS, to nasuwa się: - Nowszy firmware może być "stary", tzn. i tak nie mieć zabezpieczenia. W takim przypadku można rozważać wymianę oprogramowania alternatywą w rodzaju DD-WRT lub OpenWrt. - Kontakt z producentem routera / dostawcą sieciowym w celu wyjaśnienia tego faktu. - Wymiana routera na bezpieczniejszy out-of-box model...

Wszystko pomyślnie usunięte, ale jesteśmy w połowie. Brontok tworzy w ogromnej ilości katalogów falsyfikaty w postaci plików EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Konieczny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego działania zainstaluj Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa obiekty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport.

Fix FRST w 99% wykonany, pomyliłeś się wklejając skrypt do Notatnika i obciąłeś pierwszą literkę, dlatego pierwsza linia nie została przetworzona. AdwCleaner widzi dużo śmieci. Kolejne zadania: 1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ocznik1986\Desktop\FRST-OlderVersion CMD: del /q C:\Users\ocznik1986\Downloads\MCPR.exe CMD: del /q C:\Users\ocznik1986\Downloads\MCPR_2.0.155.1.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Zadanie wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kolejna porcja czynności: 1. Mówiłam poprzednio zadając czyszczenie Google Chrome: Nie wygląda na to, że zostało to wtedy wykonane, gdyż AdwCleaner notuje mnóstwo śmieciarskich wyszukiwarek. Tak więc wykonaj zadanie, do usunięcia są wyszukiwarki: AVG, Babylon, Delta, Softonic, Startsear, SweetIM. 2. Po w/w czynności uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po tym czyszczeniu: 3. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\Karolina\AppData\Local\Google\Chrome SxS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

OK, kończymy: 1. Skasuj używane tu narzędzia z j:\INSTALKI\ANTYWIRUSY etc. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu (o ile coś powstało, początkowo brak punktów): KLIK. 3. O dodatkowym zabepieczeniu Malwarebytes Anti-Exploit już wspominałam.

1. Uruchom AdwCleaner ponownie. Zastosuj Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Na przyszłość uważaniej czytaj instrukcje, FRST miał utworzyć trzy raporty (trzecim jest Shortcut). To nie jest problem infekcji. Temat przenoszę do bardziej stosownego działu, na razie do działu Windows, gdyż prawdopodobnie problem jest na poziomie zainstalowanego software. 1. I to właśnie pakiet zabezpieczeń może tworzyć problem, tu jest nie tylko antywirus lecz także firewall. Rezyduje achaiczna wersja Trend Micro Titanium Internet Security z roku 2010. Rozpocznij od kompletnej deinstalacji tego programu. 2. Świeżo zainstalowany Windows, więc trzeba uzupełnić wszystkie aktualizacje z Windows Update. Obecnie nie zabezpieczony łysiutki Windows bez SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) I jeszcze jedna uwaga: dziurawiec Java™ 6 Update 37 do eliminacji. Więcej: KLIK. 3. Dziennik zdarzeń sugeruje także, że należy aktualizować sterowniki sprzętowe i/lub BIOS: System errors: ============= Error: (01/29/2015 09:10:16 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera.

Nie, żadnych konkluzji. Z tym, że użycie niezgodnego bitowo środowiska powodowało prowadzenie przez FRST nieadekwatnych skanów (pod kątem systemu 64-bit). Ale sama forma błędu relatywna do elementu \Boot\BCD sugerowała po prostu uszkodzenie obszaru rozruchowego. Komp postawiony na nowo, więc temat zamykam.

OK, skoro to pełny skan, to uznaję że sprawa załatwiona. Rozumiem, że wszystkie wyniki zostały usunięte. Na koniec: Skasuj pobrany FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i cały system do aktualizacji: KLIK. Stan obecny to goły Windows 7 bez SP1, IE11 i reszty łat: Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome)

Tylko główny log był potrzebny, resztę usuwam. Avast SafePrice był wcześniej, może usunięcie jego reinstalatora z rejestru w skrypcie FRST było przyczyną zaniku rozszerzenia. Zadania wykonane. Teraz: Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Coś mało wyników, zwykle przy infekcji Brontok jest masowa inwazja takich plików. Czy to na pewno był pełny skan? PS. Ad "mówiłeś" = jestem kobietą.

Te samoczynne restarty produkuje robak Brontok. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2008-07-25] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe [42713 2008-07-25] () HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\...\MountPoints2: {108a1d78-248a-11e4-a71f-0025d36e48a4} - G:\autorun.exe HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2008-07-25] () HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 SecurityProviders: schannel.dll, credssp.dll, digest.dll Startup: C:\Documents and Settings\Admin\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\MS .NET Framework 4 - WinXP Slow Boot Fix v3.1.vbs () Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif () Task: C:\WINDOWS\Tasks\At1.job => ? HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1935655697-2147138623-1417001333-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Application Data\APN C:\Documents and Settings\Admin\Application Data\EurekaLog C:\Documents and Settings\Admin\Local Settings\Application Data\*.bat C:\Documents and Settings\Admin\Local Settings\Application Data\*.bin C:\Documents and Settings\Admin\Local Settings\Application Data\*.exe C:\Documents and Settings\Admin\Local Settings\Application Data\*.txt C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.bat C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.bin C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.txt C:\WINDOWS\eksplorasi.exe C:\WINDOWS\ShellNew\sempalong.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: for /d %f in ("C:\Documents and Settings\Admin\Local Settings\Application Data\*Bron*") do rd /s /q "%f" CMD: for /d %f in ("C:\Documents and Settings\NetworkService\Local Settings\Application Data\*Bron*") do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Użyłeś niezgodną wersje bitową środowiska WinRE: ATTENTION!:=====> THE OPERATING SYSTEM IS A X86 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X64 SYSTEM DISK. Log FRST jest niewiarygodny, gdyż odnosi się do elementów 64-bit. Podaj dla pewności log zrobiony z poziomu płyty 32-bit.

Skrypt pomyślnie wykonany. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Ale SpyHunter to program z czarnej listy! Do poczytania co to za jeden: KLIK. Nikt tego nie poleca, wszyscy to deinstalują. Tu jeszcze stara wersja sprzed kilku lat. Jego użyteczność jest niska. Porządny wiarygodny program to Malwarebytes Anti-Malware. SpyHunter nadal do deinstalacji. Po deinstalacji nowy log FRST.

Temat rozwiązany. Zamykam. Jeśli pojawią się jakieś problemy, załóż nowy temat.

Zadanie pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: I:\AdwCleaner RemoveDirectory: I:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dopiero po tym zadaniu: 2. Na wszelki wypadek zrób jeszcze pełny skan za pomocą Malwarebytes Anti-Malware. Przy instalacji odznacz trial. Jeśli coś wykryje, dostarcz raport wynikowy, w przeciwnym razie jest on zbędny.