lukaszenko Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Kilka dni temu przez przypadek podczas instalowania programu nie odznaczyłem jednej opcji i zainstalowało się kilkanaście chińskich programów. Jeden z nich cały czas pobierał następne i tak w kółko. Udało mi się ich wszystkich pozbyć za pomocą Malwarebytes Anti-Malware i AdwCleaner, mimo wszystko ten pierwszy cały czas wykrywa problemy w rejestrze, których nie jest w stanie usunąć. Z góry dziękuję za pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Proszę dostarcz raport z Malwarebytes pokazujący co jest wykrywane i nie może zostać usunięte. Odnośnik do komentarza
lukaszenko Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Obecnie Malwarebytes wykrywa jeden plik rejestru i nie da się go usunąć nieważne ile razy będę skanował. Wcześniej było ich dużo więcej - za którymś razem w końcu się usunęły. Raport: Malwarebytes Anti-Malware www.malwarebytes.org Data skanowania: 2015-10-17 Czas skanowania: 17:50 Raport: Malwarebytes.txt Administrator: Tak Wersja: 2.2.0.1024 Baza szkodliwego oprogramowania: v2015.10.17.03 Baza danych rootkitów: v2015.10.16.01 Licencja: Darmowa Ochrona przed złośliwym oprogramowaniem: Wyłączony Ochrona przed szkodliwymi stronami: Wyłączony Samoobrona: Wyłączony System operacyjny: Windows 7 Service Pack 1 Procesor: x64 System plików: NTFS Użytkownik: Przemek Typ skanowania: Dokładne skanowanie Wynik: Zakończono Obiekty przeskanowane: 311347 Czas, który upłynął: 1 min, 36 s Pamięć: Włączony Autostart: Włączony System plików: Włączony Archiwa: Włączony Rootkity: Wyłączony Heurystyka: Włączony PUP: Włączony PUM: Włączony Procesy: 0 (Nie wykryto zagrożeń) Moduły: 0 (Nie wykryto zagrożeń) Klucze rejestru: 0 (Nie wykryto zagrożeń) Wartości rejestru: 1 Adware.ChinAd, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELL EXTENSIONS\APPROVED\{646BAAE7-7538-4866-8EEE-974C0AA910AB}, , [947372e66c1f1c1a1725072e659d8e72], Dane rejestru: 0 (Nie wykryto zagrożeń) Foldery: 0 (Nie wykryto zagrożeń) Pliki: 0 (Nie wykryto zagrożeń) Sektory fizyczne: 0 (Nie wykryto zagrożeń) (end) Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 To nieczynny mikro odpadek. Być może to problem uprawnień i przed usunięciem sprawdzę to. W raporcie FRST jest także powiązany wpis rejestru (ta sama klasa) nie wykrywany przez MBAM: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4233494923-3357577127-3169329625-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {191916DE-3933-4DF3-A2E0-1224263222C1} - System32\Tasks\{0E79ECFF-168E-4833-A84A-FE4179123D5E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsProgressBar Task: {4072AF2B-C61A-4C47-9823-7C313F3F63A0} - \amiupdaterExd -> Brak pliku Task: {4EA44B8D-E314-4227-A4D3-160BCC970E78} - \SPBIW_UpdateTask_Time_323937353732303339342d2d37505a2a6c55326c342341 -> Brak pliku Task: {55D1A40F-548E-442F-98D1-F00D5FD906EA} - \SPDriver -> Brak pliku Task: {7EFFA523-C9C0-4768-81A2-F24C3B3FF6AD} - System32\Tasks\{C0C7D700-506B-4FC2-8ABD-4BD77E0642E0} => Chrome.exe hxxp://ui.skype.com/ui/0/6.18.73.106.456/pl/abandoninstall?page=tsMain Task: {A249BD24-E084-4DC2-BC99-5F2E8A5F6D54} - \Inst_Rep -> Brak pliku Task: {ACEF77F9-767F-48E2-BA96-C766B2552696} - \amiupdaterExi -> Brak pliku Task: {B904259A-D061-42C4-BB45-4E88A76DBEDB} - \ShopperProJSUpd -> Brak pliku Task: {ED2273FF-449E-4404-A4E0-AE3A41378913} - System32\Tasks\{FA3A1D46-51DD-41DD-9E5C-5D92C9B64D49} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsWLM Task: {FD1F9DCC-82D2-4386-9508-87200208C020} - \ShopperPro -> Brak pliku C:\ProgramData\inf.dat C:\Users\Przemek\AppData\Local\CrashRpt C:\Users\Public\QiYi ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved" /v {646BAAE7-7538-4866-8EEE-974C0AA910AB} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f nointegritychecks: ==> "IntegrityChecks" - funkcja wyłączona. EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
lukaszenko Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 W załączniku log z usuwania. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 Cały skrypt pomyślnie wykonany, włącznie z usunięciem wartości wskazywanej przez MBAM. Nie było żadnej blokady uprawnień (ani innego typu), wpis został usunięty podstawowym narzędziem Reg wbudowanym w Windows. Nie wiem o co chodzi, że MBAM nie mógł takiej prostej rzeczy usunąć... Zresetuj system, uruchom MBAM i opróżnij poprzednie raporty, ponów skan i powiedz czy ten wpis jest ponownie wykrywany. Odnośnik do komentarza
lukaszenko Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Tym razem nic nie wykryło. Dziękuję bardzo za pomoc. Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 Na zakończenie posłuż się DelFix, by dokasować fragmenty używanych narzędzi. Odnośnik do komentarza
lukaszenko Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Gotowe. Jeszcze raz wielkie dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi