picasso
-
Postów
36 523 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Nie, Dropbox jest OK w kontekście "szkodliwości". Z Dropboxem już było coś nie tak, gdy otrzymałam pierwsze logi - w pierwszym Shortcut prawie wszystkie skróty Dropbox były oznaczone jako "No file" (brak pliku). Dlatego też te wpisy usuwałam. Po prostu na każdym koncie z osobna "odinstalujcie" uszkodzony wpis i zainstalujcie Dropbox ponownie. Z zakresu czyszczenia systemu wszystko wykonane. Kończymy: Posuwaj ze wszystkich kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Nie ma potrzeby dzielić wiadomości (skleiłam), w logach przecież widać z którego konta.
-
Fix wykonany. Natomiast wymagane poprawki będąc zalogowanym na konkretnym koncie: NA KONCIE BUMIDA: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {1B1B1377-758A-4FA7-9AC9-B81AAC31856D} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Task: {3E5EBE54-6DDB-4C87-9658-6313218BF42B} - \avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 No Task File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. NA KONCIE DARIUSZ: Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
-
Temat przenoszę do działu Windows. Nie jest to problem infekcji. - Na początek upewnij się, że problemu nie tworzy Norton Internet Security, a weryfikacja nastąpi przy udziale pełnej deinstalacji. - Dodatkowo odinstaluj jeszcze stare wersje i zbędniki firmowe: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 MUI, ASUS WebStorage, Bing Bar, Google Toolbar for Internet Explorer. Po tym zrób nowy raport FRST (główny + Addition) i opisz czy są zmiany.
-
CTB-Locker + pewnie parę innych infekcji
picasso odpowiedział(a) na rsnooz temat w Dział pomocy doraźnej
Zadania wykonane pomyślnie. Kolejne czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KSIEGOWY\AppData\Local\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport. -
Błąd przy instalacji - odwołanie do pamięci. Pamięć nie może być "written"
picasso odpowiedział(a) na Kristoffx temat w Dział pomocy doraźnej
Nadal nie odpowiedziałeś o jaki program Ci chodzi. Shortcut.txt podaje, że skrót deinstalacji jest w Menu Start: ShortcutWithArgument: C:\Documents and Settings\Osia\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Documents and Settings\Osia\Dane aplikacji\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh -
Karta graficzna bez powodu działa na 100%
picasso odpowiedział(a) na Naccon temat w Dział pomocy doraźnej
Na koniec zastosuj DelFix (GMER dokasuj ręcznie), odinstaluj starą wtyczkę Adobe Flash Player 15 ActiveX oraz wyczyść foldery Przywracania systemu: KLIK. -
1. AdwCleaner czepia się aplikacji Acer Updater. Fałszywy alarm, ale jest to owszem zbędnik i go po prostu w poprawny sposób odinstaluj. 2. Uruchom AdwCleaner ponownie, zastosuj sekwencję Szukaj + Usuń. Gdy ukończy działanie: 3. Otwórz Notatnik i wklej w nim: RemoveDirecrory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.
-
CTB-Locker + pewnie parę innych infekcji
picasso odpowiedział(a) na rsnooz temat w Dział pomocy doraźnej
W raporcie Farbar Service Scanner żadnych oznak dyskonfiguracji Przywracania systemu. Natomiast nowe logi nadal pokazują wpisy infekcji i szczątki adware. To właśnie z tego konta się inicjowała infekcja. Kolejne działania - wszystko w kontekście konta KSIEGOWY: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [YTVPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ektion\rvvbobqwdyjcc.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [Ezztion] => regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ezztion\plc4.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [bluetoothS] => rundll32.exe "%appdata%\BtvStack.dll",BTHF_Register URLSearchHook: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> 7B25F7A08463410AB1D6D9C86FEB050F URL = http://search.babylon.com/?q={searchTerms}&AF=100480&babsrc=SP_ss&mntrId=aa814c8600000000000064315023b703 SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2AE70A0E-39B8-48D4-9229-9E2C0E150E4B} URL = http://www.search.ask.com/web?p2=^ADN^OSJ000^YY^PL&gct=&itbv=12.0.1.100&o=APN10616&tpid=ORJ-V7&apn_uid=43BDBA54-CA96-429E-8979-478EFC4398ED&apn_ptnrs=ADN&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2013-10-11&trgb=IE&q={searchTerms}&psv= SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\57130876.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\57130876.sys => ""="Driver" C:\Users\Administrator\temp C:\Users\KSIEGOWY\AppData\Roaming\Babylon Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a C:\Users\KSIEGOWY\AppData\Local Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie nowy fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Wczoraj Żony dzisiaj Dziecka - reklamy cd.
picasso odpowiedział(a) na bednar temat w Dział pomocy doraźnej
1. Uruchom AdwCleaner. Klik w Szukaj (nie stosuj jeszcze Usuń) i dostarcz raport z C:\AdwCleaner. 2. Uruchom Zoek i w oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script i dostarcz wynikowy log. 3. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows.old Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. -
Skrypt wykonany. Na koniec: Usuń folder D:\Tools\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.
-
CTB-Locker + pewnie parę innych infekcji
picasso odpowiedział(a) na rsnooz temat w Dział pomocy doraźnej
Akcje pomyślnie wykonane, z wyjątkiem pierwszej komendy - błąd tworzenia punktu Przywracania systemu. 1. Poproszę o log z Farbar Service Scanner. 2. W systemie są dwa konta, a Ty dostarczałeś logi z wbudowanego Administratora (niedawno aktywowany): ========================= Accounts: ========================== Administrator (S-1-5-21-3668452077-1106565234-3799211801-500 - Administrator - Enabled) => C:\Users\Administrator KSIEGOWY (S-1-5-21-3668452077-1106565234-3799211801-1002 - Administrator - Enabled) => C:\Users\KSIEGOWY Proszę zaloguj się na właściwe konto KSIEGOWY poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób z poziomu tego kota nowe logi FRST (główny + Addition, Shortcut zbędny). -
Mam problem z wyskakującymi stronami
picasso odpowiedział(a) na adam13 temat w Dział pomocy doraźnej
Opis problemu biedny, mógłbyś dokładniej przedstawić sprawy... Infekcja nie jest po stronie systemu i nie pomogą żadne skanery czy "fiksy". Tu jest infekcja routera - pierwszy adres jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony pozostałe działania: 2. Deinstalacje: Przez Panel sterowania odinstaluj starą wersję Java 7 Update 67, zbędny przestarzały Spybot - Search & Destroy oraz wątpliwy skaner z czarnej listy SpyHunter. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Zresetuj też cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3842171764-2869596894-789366844-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3842171764-2869596894-789366844-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3842171764-2869596894-789366844-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path Task: {0BDD645A-1D6B-4DB2-B6C3-5E46C85DDF15} - System32\Tasks\{FABF9EBF-0DEA-4A71-A61A-27E3A41FFF8E} => pcalua.exe -a G:\SISetup.exe -d G:\ Task: {34654672-028F-4921-9FDA-A889A4D62CC0} - System32\Tasks\{155D6E6C-5A60-4166-83D1-9FD0F6EB8F31} => pcalua.exe -a C:\Users\-\IN1EGC18WW5.exe -d C:\Users\- Task: {444C6D3A-C651-4BD3-B49A-6E08C791B0BD} - System32\Tasks\{FC4BCAC9-72C6-4E5A-98F2-6A04B840146D} => Chrome.exe Task: {578E4744-B444-4CE4-9734-7CB3CB6CF146} - System32\Tasks\Google Updater and Installer => C:\Users\-\AppData\Local\Google\Update\GoogleUpdate.exe Task: {8D905414-46D3-4741-90A4-738DEDE09920} - System32\Tasks\{A0F0AF63-6FA9-4646-80CB-129CD5DD97DE} => pcalua.exe -a E:\HpSetup.exe -d E:\ Task: {AFC7AF39-D967-48E1-824F-7AA6F17A8247} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {BC6E7BAF-613D-4638-8979-EEE57C458DA8} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {CD1F8EAA-00CD-4262-951A-EB2FEC8A9FA1} - \Program aktualizacji online firmy Adobe. No Task File HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Classes\exefile: U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\-\AppData\Local\Temp\catchme.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath C:\ProgramData\mshaigu.exe C:\Users\-\*.exe C:\Users\-\Downloads\jxpiinstall*.exe C:\Windows\System32\Tasks\Norton Identity Safe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(
picasso odpowiedział(a) na romala temat w Dział pomocy doraźnej
Logi z FRST są nareszcie z kontektu właściwego konta Wujo. To było istotne, bo ujawniły się wpisy ZeroAccess oraz ten do CAD8B9.exe omawiany wcześniej inicjowane z tego konta. Ponadto, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Nie ruszam na razie plików zaszyfrowanych przez infekcję, ale coś trzeba będzie potem z tym zrobić (ale jak mówiłam, dekrypcja awykonalna): 2015-01-01 14:56 - 2014-12-09 08:31 - 00049936 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_12_F012_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-15 09:27 - 00049408 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_11_F011_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-03 16:33 - 00013600 _____ () C:\Users\Wujo\Downloads\J-Wi Jadłospis.DOC.itqjnld 2015-01-01 14:56 - 2014-10-13 10:15 - 00052368 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_10_F010_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda.XLS.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda (1).XLS.itqjnld 2015-01-01 14:56 - 2014-08-11 13:56 - 00051824 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_08_F008_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-07-29 07:43 - 00045152 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_07_F007_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-05-23 16:46 - 00018096 _____ () C:\Users\Wujo\Documents\g1 kody.DOC.itqjnld 2015-01-01 14:56 - 2014-05-19 12:14 - 00048704 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_05_F005_Z.PDF.itqjnld 2015-01-01 14:56 - 2014-03-17 14:58 - 00072576 _____ () C:\Users\Wujo\Downloads\tmp1A0.PDF.itqjnld 2015-01-01 14:56 - 2014-02-10 19:04 - 00050960 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_02_F002_Z.PDF.itqjnld 2015-01-01 14:56 - 2013-10-15 10:38 - 00049632 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_13_10_F010_Y.PDF.itqjnld 2015-01-01 14:56 - 2013-06-01 08:55 - 00044352 _____ () C:\Users\Wujo\Downloads\statement_0245_20130527.PDF.itqjnld 2015-01-01 14:56 - 2013-05-03 16:01 - 00005440 _____ () C:\Users\Wujo\Documents\DATA.DOC.itqjnld 2015-01-01 14:56 - 2013-05-03 15:01 - 00073648 _____ () C:\Users\Wujo\Documents\Dokument1.PDF.itqjnld Kolejna porcja działań: 1. Ustaw adresy DNS w Windows na adresy Google 8.8.8.8 + 8.8.4.4: KLIK. 2. Odinstaluj Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader X (10.1.0) - Polish, Google Chrome, Java 6 Update 37. Na razie nie instaluj żadnych nowych wersji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\ \...\???\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Run: [Google Update**.d<*>] => "C:\Users\Wujo\AppData\Local\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\❤≸⋙\Ⱒ☠⍨\ﯹ๛\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" > <===== ATTENTION (Value Name with invalid characters) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U2 wuaserv; No ImagePath GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM-x32 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3820&ver=4.9&ts=1369248523355.000003&tguid=44393-3820-1369248523355-DA54B3E4B3DA9B82F6E7C5AAB0157A9E&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {1DD5C10A-E446-4FEC-8511-6F13CDC8C221} URL = http://startsear.ch/?aff=1&src=sp&cf=52e8ba86-3711-11e1-bd44-001d6073c963&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {76893B59-8604-4843-9B97-7ECDADBE8CA8} URL = http://start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {D55E9BF4-1D7D-4C25-B1FD-C51D19102329} URL = http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=40e7c0cae985426988648692520b0dbe BHO: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.x64.dll No File BHO-x32: No Name -> {19a395c9-823b-4700-b817-396fc84ffb16} -> No File BHO-x32: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.dll No File BHO-x32: HomeTab -> {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} -> C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM-x32 - HomeTab - {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} - C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM-x32 - No Name - {19a395c9-823b-4700-b817-396fc84ffb16} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {07770E9D-F3B7-4B25-874D-3D6F3F3CBDC6} - \Funmoods No Task File <==== ATTENTION Task: {0CF3B116-DA65-430F-9FA1-7EAE2435E3F5} - System32\Tasks\{C26B5E61-26B9-47FD-AFE4-265FA498E912} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnet2.0_polish_lang_pack.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {0DAACB83-A04B-49B5-8315-0CD0A3024430} - \WS.Enabler-S-71009536 No Task File <==== ATTENTION Task: {105353A9-C15A-405A-9D8A-B889A9F5E576} - System32\Tasks\{6B62769A-FB6F-4B36-B81B-10076155899C} => pcalua.exe -a "D:\[PL] Gothic 3 Zmierzch Bogow\g3fg_106_pl.exe" -d "D:\[PL] Gothic 3 Zmierzch Bogow" Task: {14A661C3-358B-44FF-9415-0BAC9EA4E4B2} - System32\Tasks\{22116563-108C-42c0-A7CE-60161B75E508} => C:\Users\Wujo\AppData\Local\Temp\Ivj.exe <==== ATTENTION Task: {16A2D09C-C155-4D67-A276-2577E63ABA87} - System32\Tasks\nvbinif => C:\Windows\TEMP\wxsgcum.exe Task: {811D8666-AB43-4EBB-A3AF-68CBE1987A13} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe <==== ATTENTION Task: {848E651E-3F94-437E-A939-3C5D9D3C3FCE} - System32\Tasks\{948FD25D-A0F4-4257-AE25-56927B4C82F3} => pcalua.exe -a D:\setup.exe -d D:\ Task: {8A50D08D-C7D8-4E89-A512-BA89703FFD7C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION Task: {92B73987-47CF-42AA-B2B0-8AAF466CBFED} - System32\Tasks\{4CE54CF7-CD67-49E1-9ABE-A168E0913C58} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx2.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {B67CFFE1-7813-46ED-9F33-81F9CF1C3788} - System32\Tasks\{DC334AC1-DE93-43DE-B655-5F406268D5E4} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {C2A96D23-B831-4880-BB2C-1285BF313F1A} - System32\Tasks\{EBE60C5D-F0A2-4DD7-B8AA-D4CA3A683DE0} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx1.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {E61AD748-BC3D-4ABD-AF8F-EA28EEB737CA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F0A7FF05-933F-4750-8006-433AAC7661E6} - System32\Tasks\{E4DBABE4-396F-467D-BBB3-8B4B4BC021E8} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {F474537D-3A24-4C8E-AB4F-78874B488DE2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F98EDEAE-7418-499C-8EC5-4C28DEA6EE65} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ClickPotatoLite\bin\11.0.19.0\ClickPotatoLiteSA.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\WS.Enabler-S-71009536.job => c:\programdata\setapp\ws.enabler\WS.Enabler.exe <==== ATTENTION DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\$AVG C:\how_decrypt.html C:\shldr C:\shldr.mbr C:\spyhunter.fix C:\Program Files\Enigma Software Group C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Gadu-Gadu 10 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\PokerStars.EU C:\ProgramData\APN C:\ProgramData\efywb C:\ProgramData\Temp C:\ProgramData\Video Strip Poker Supreme C:\Users\Wujo\SSYPV C:\Users\Wujo\AppData\Local\Google C:\Users\Wujo\AppData\Local\Mozilla C:\Users\Wujo\AppData\Local\PokerStars.EU C:\Users\Wujo\AppData\Roaming\41710310.reg C:\Users\Wujo\AppData\Roaming\DAEMON Tools Lite C:\Users\Wujo\AppData\Roaming\ipla C:\Users\Wujo\AppData\Roaming\PhotoScape C:\Users\Wujo\AppData\Roaming\Mozilla C:\Users\Wujo\AppData\Roaming\Fosyryg C:\Users\Wujo\AppData\Roaming\Onbilo C:\Users\Wujo\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Wujo\Desktop\SpyHunter4.exe — skrót.lnk C:\Users\Wujo\Desktop\programy\DAEMON Tools Lite.lnk C:\Users\Wujo\Desktop\programy\Packard Bell\Norton Internet Security.lnk C:\Users\Wujo\Documents\Decrypt All Files itqjnld.bmp C:\Users\Wujo\Documents\Decrypt All Files itqjnld.txt C:\Users\Wujo\Downloads\Extras.TXT.itqjnld C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\system32\%LocalAppData% C:\Windows\system32\log Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wujo\AppData\Local CMD: dir /a C:\Users\Wujo\AppData\LocalLow CMD: dir /a C:\Users\Wujo\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. -
1. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\LAPTOP\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\LAPTOP\Desktop\7n9kx3td.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
-
Strony startowe w przeglądarkach - omiga-plus
picasso odpowiedział(a) na NoVVy temat w Dział pomocy doraźnej
1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. -
Nie pokazałeś dzienników NOD, ale pewnie wykrył ów Faster Light, który został odinstalowany. Obecnie brak oznak czynnej infekcji, tylko drobne odpadki do korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X] S2 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X] HKU\S-1-5-21-443380452-1675359078-3907599609-1000\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKU\S-1-5-21-443380452-1675359078-3907599609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 SearchScopes: HKU\S-1-5-21-443380452-1675359078-3907599609-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Magdalena\AppData\Roaming\Mozilla\Firefox\Profiles\iixl34xb.default\user.js HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\Faster Light C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń) i dostarcz raport z folderu C:\AdwCleaner.
-
CTB-Locker + pewnie parę innych infekcji
picasso odpowiedział(a) na rsnooz temat w Dział pomocy doraźnej
Infekcja rootkit została pomyślnie usunięta, a sterowniki Windows odblokowane. Możemy zająć się pozostałymi problemami. Z obiektami wyglądającymi na zaszyfrowane przez CTB-Locker niestety nic nie jestem w stanie zrobić. Brak deszyfratora i ratunkiem są tylko kopie zapasowe. Odpada szukanie plików w kopiach cieniowych, bo punkty Przywracania są wyczyszczone na zero (pewnie przez tę infekcję), a zastosowanie softu typu "recovery" może być nieskuteczne, bo nie wiadomo jak długo trwa infekcja, a na dysku były już liczne zapisy. 2015-01-12 08:10 - 2015-01-12 08:10 - 03888054 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp 2015-01-12 08:10 - 2015-01-12 08:10 - 00001240 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt 2015-01-08 13:22 - 2011-11-04 16:46 - 00000512 _____ () C:\rcp58_log_file.TXT.fafktzg 2015-01-07 11:46 - 2011-11-04 16:46 - 00006928 _____ () C:\log.TXT.fafktzg 2014-12-16 10:04 - 2011-11-04 16:46 - 00374608 _____ () C:\Users\KSIEGOWY\Desktop\KARTKA ŚWIĄTECZNA 2014.JPG.fafktzg 2014-12-16 09:45 - 2011-11-04 16:46 - 00002336 _____ () C:\Users\KSIEGOWY\Desktop\życzenia.DOC.fafktzg 2014-12-15 11:50 - 2011-11-04 16:46 - 00002560 _____ () C:\Users\KSIEGOWY\Desktop\ADVERTI.DOC.fafktzg Natomiast kolejne działania są po kątem wpisów szczątkowych i pustych. Będę też usuwać usługę AmmyyAdmin, która startuje z katalogu Internetowych Plików Tymczasowych (zostaną opróżnione). Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R2 AmmyyAdmin; C:\Users\KSIEGOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\21MHOHVE\pomoc.exe [743704 2014-10-23] (Ammyy LLC) S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X] S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin => ""="Service" HKLM-x32\...\Run: [File Sanitizer] => c:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe HKLM-x32\...\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" HKLM\...\Policies\Explorer\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" No File BootExecute: autocheck autochk * sh4native Sh4Removal Task: {51C3C8E4-1F4E-4237-8F87-358D9DC2425E} - System32\Tasks\{541967FB-A469-4720-B6CB-996F17A61731} => pcalua.exe -a "C:\Users\KSIEGOWY\Desktop\pomoc (1).exe" -d C:\Users\KSIEGOWY\Desktop Task: {55FF654F-51F6-4B94-A471-4EDA360B2139} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {6DFABE97-4269-4914-AA07-D794CD7C4F01} - System32\Tasks\{38602D3E-9490-4B79-B466-0AF559CC1BF4} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {7BC72F8E-CFB7-4229-8611-C79FFE51BFCF} - System32\Tasks\{15840900-6F78-4363-A946-83865712334C} => pcalua.exe -a "G:\kopia dysku D\install\LJ 3030\lj30xx_3380pcl6-pi.exe" -d "G:\kopia dysku D\install\LJ 3030" Task: {955782A8-A447-4D8D-8919-884E3C33A1EA} - System32\Tasks\{B3F322FB-BAC1-45A5-B4D6-6467D1180C8C} => pcalua.exe -a C:\Users\KSIEGOWY\Downloads\lj30xx_3380pcl6-pi.exe -d C:\Users\KSIEGOWY\Desktop Task: {C80C2B81-B1A7-412B-BC3D-E5C376BFBF5D} - System32\Tasks\{EF62DE4A-D9CD-4295-ADF7-CF2CEE14D8C1} => Iexplore.exe http://ui.skype.com/ui/0/5.6.0.105/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;alreadyoffered Task: {C8E75326-E66C-4E7D-A780-4AD363E2387D} - System32\Tasks\{C39475A6-E07B-4058-B5AC-A5D69DDAF47A} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {CA0B4F29-B941-4830-9B67-E0820300E630} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Tuneup => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {D419364E-5D3B-4D5C-87E6-18D50171458A} - System32\Tasks\wckfgeb => C:\Users\KSIEGOWY\AppData\Local\Temp\jqlwefm.exe Task: {F194D71C-3157-4F3F-B70A-C64D4076E794} - System32\Tasks\{C04B678D-7D3D-4B8C-8187-B31F5E7509E9} => Iexplore.exe http://ui.skype.com/ui/0/5.8.0.156/pl/abandoninstall?page=tsMain StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = BHO: No Name -> {4F524A2D-5637-006A-76A7-7A786E7484D7} -> No File BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> No File BHO-x32: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKLM-x32 - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM-x32 - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File C:\spyhunter.fix C:\Users\Administrator\Desktop\SpyHunter C:\Users\KSIEGOWY\Desktop\SpyHunter C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\sh4native.exe RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\ProgramData\ESET RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\Program Files\Norton AntiVirus RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\WINDOWS RemoveDirectory: C:\Windows\Installer\{70AA7602-A4C6-3B7F-16CC-5E36F687AED5} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Temat przenoszę do działu Windows. Są tu tylko martwe szczątki infekcji i odpadkowy (lecz czynny) sterownik niepoprawnie odinstalowanego AVG. Mam wątpliwości czy odpadek AVG ma cokolwiek wspólnego ze zgłoszonym problemem spowolnienia. Natomiast są tu widoczne liczne problemy z crackiem aktywacji (KMSpico). Widać poniższą usługę w nienormalnym stanie: Locked "WinDivert1.1" service could not be unlocked. Kolejna usługa KMPico sypie z kolei błędami w Dzienniku zdarzeń. S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [1050904 2013-12-11] () [File not signed] Application errors: ================== Error: (01/13/2015 02:44:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffb0c0e0565 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 Error: (01/13/2015 02:27:47 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffebe0e0565 Identyfikator procesu powodującego błąd: 0x718 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 System errors: ============= Error: (01/13/2015 02:45:26 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (01/13/2015 02:28:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Tak więc to crack może być podstawowym problemem. Pomoc dla piratów jest ograniczona, forum nie może wspierać takich działań. 1. Krok pierwszy to deinstalacje: - Poprzez Panel sterowania: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Java 7 Update 67 (64-bit), KMSpico v9.1.3. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy AVG AVG PC TuneUp 2015 + AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx64.sys [52000 2014-12-10] (AVG Technologies) S3 ESEADriver2; \??\C:\Users\Piotr\AppData\Local\Temp\ESEADriver2.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] Task: {B826C484-7167-4853-B610-7EEAF216AB67} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {FBA01B11-01F9-407A-BAC9-5074AF1BE69D} - System32\Tasks\{97B03FBE-D0F5-4766-B183-1313C2693D94} => pcalua.exe -a C:\Users\Piotr\Downloads\sp63774.exe -d C:\Users\Piotr\Downloads HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Winlogon: [shell] C:\Users\Piotr\AppData\Local\Temp\dwn\dwn.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll No File FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG PC TuneUp 2015.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Call of Duty - Advanced Warfare\Play Call of Duty - Advanced Warfare.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Forest\The Forest.lnk C:\Users\Public\Desktop\AVG Konserwacja 1 kliknięciem.lnk C:\WINDOWS\system32\drivers\avgtpx64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.
-
Założyłeś temat w dziale diagnostyki infekcji, zasady działu nie zostały zrealizowane i nie dostarczyłeś obowiązkowych raportów: KLIK.
-
Zadania wykonane, z jednym wyjątkiem. Konto USER_ niby pomyślnie usunięte, a w Addition stoi jak przyklejone. Może jakiś określony program regeneruje ten obiekt. Pomijam ten wątek. Zasadniczy problem rozwiązany i kolejne poprawki: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.
-
Błąd detekcji ścieżek w FRST już naprawiony. Natomiast wracając do wątku przewodniego, to jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f CMD: del /q C:\Users\Dorota\Desktop\Data.reg CMD: del /q C:\Users\Dorota\Downloads\AdwCleaner*.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Pobierz ponownie AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.
-
Podmiana wyszukiwarki na webssearches
picasso odpowiedział(a) na PanTani temat w Dział pomocy doraźnej
Wszystko pomyślnie wykonane. Kończymy: 1. Odinstaluj starą wtyczkę IE Adobe Flash Player 13 ActiveX. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. -
Nie ma żadnych oznak infekcji. System wygląda na świeżo instalowany zresztą. 1. W Dzienniku zdarzeń jest zestaw następujących błędów: System errors: ============= Error: (01/06/2015 08:30:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (01/06/2015 08:30:47 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Zacznij od tego tematu: KLIK. By widzieć podaną ścieżkę, należy mieć włączone pokazywanie ukrytych plików, tzn. w Opcjach folderów zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego". 2. AVG to świeża instalacja. Jeśli powyższe nie okaże się powiązane ze spowolnieniem, jest to podejrzany. 3. Internet Explorer do aktualizacji. 4. Sprawa kosmetyczna. Napraw błąd WMI numer 10 posiłkując się narzędziem Fix-it: KLIK.
-
Proszę nie pisz posta pod postem - skasowany. Odpowiadam gdy mogę (jestem obecna i mam czas). Poprzednie zadania wykonane. Natomiast wg spodziewań log z Farbar Service Scanner pokazuje rozwalone usługi Windows, skasowane przez infekcję ZeroAccess. Wymagane kolejne naprawy i inne poprawki. Nowa porcja działań: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\036DFF98E54634B40000F269E56C3443 C:\ProgramData\036DFF98E54634B40000F269F875EF7E C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\PogoDGC C:\ProgramData\Roaming C:\ProgramData\Windows Service Manager0 Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Zresetuj system. Zrób nowy log z Farbar Service Scanner.
-
Błąd przy instalacji - odwołanie do pamięci. Pamięć nie może być "written"
picasso odpowiedział(a) na Kristoffx temat w Dział pomocy doraźnej
Od wczoraj logi z OTL nie są już obowiązkowe. Jakiego programu? SpyHunter to program wątpliwej reputacji! Był na czarnej liście, stosuje naciski byle go zainstalować. Z daleka od tego produktu. Wirusów to tu nie było, są ślady adware/PUP, co jest zasadniczą różnicą. Owszem, mamy co czyścić: w procesach się uruchamia niepożądany maintainer.exe, w Google Chrome też jest brud. Przeprowadź następuje akcje: 1. Na początek deinstalacje: - Przez Dodaj/Usuń programy: J2SE Runtime Environment 5.0 Update 4, Qtrax Player. Są to przypuszczalnie uszkodzone / niepełne instalacje, ale Windows powinien zaproponować usunięcie wpisów z listy. - Z poziomu Menu Start: SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2015-01-12] () S3 cpuz134; \??\C:\DOCUME~1\Osia\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 UIUSys; system32\drivers\UIUSys.sys [X] AppInit_DLLs: 0 => 0 File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-606747145-1844823847-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\Osia\Dane aplikacji\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj szkodnika Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony czyszczeniem AdwCleaner specjalny skrót Internet Explorer: Shortcut: C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.