One92 Opublikowano 10 Lutego 2016 Zgłoś Udostępnij Opublikowano 10 Lutego 2016 Witam, Zrobiłem update windowsa 8.1 na 10 i chwilę po uruchomieniu systemu, pojawił się "Windows failure trojan 0x800106ba, jestem wstanie to wyłączyć, lecz po jakimś czasie powraca na pulpit, szukałem trochę po google i nie byłem wstanie rozwiązać tego problemu, system windows jest oryginalny i zależy mi aby go nie przeinstalowywać, w najgorszym wypadku to zrobię, podsyłam zdjęcie: Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2016 Zgłoś Udostępnij Opublikowano 10 Lutego 2016 Wygląda to na fałszywy komunikat jakiejś infekcji. Poproszę o zrobienie raportów z FRST. Odnośnik do komentarza
One92 Opublikowano 10 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2016 Nie wiem czy dobrze to zrobiłem. Addition_11-02-2016_00-38-51.txt FRST_11-02-2016_00-38-51.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiałeś FRST, czyli w tym przypadku w katalogu Pobrane. Zabrakło też trzeciego obowiązkowego pliku FRST Shortcut. Temat przenoszę do działu diagnostyki malware, to infekcja uruchamiana przez Harmonogram zadań, są też rozmaite inne obiekty adware. Całość nabyłeś uruchamiając jakiś "downloader", więcej na ten temat: KLIK. Log sugeruje, że stało się to po uruchomieniu pliku FreeDWGViewer (1).exe (skąd pobierany?): 2016-02-10 18:00 - 2016-02-10 18:00 - 00005160 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005128 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P 2016-02-10 18:00 - 2016-02-10 18:00 - 00005102 _____ C:\WINDOWS\System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 2016-02-10 18:00 - 2016-02-10 18:00 - 00005070 _____ C:\WINDOWS\System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\WINDOWS\system32\Express 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Server 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Svc Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\IIS 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Explore 2016-02-10 17:59 - 2016-02-10 18:00 - 00000000 ____D C:\ProgramData\4WdM4 2016-02-10 17:59 - 2016-02-10 17:59 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2016-02-10 17:58 - 2016-02-10 18:54 - 00000000 ____D C:\Users\User\AppData\Roaming\istartpageing 2016-02-10 17:56 - 2016-02-10 17:56 - 00001100 _____ C:\Users\User\Desktop\Goodgame Empire.lnk 2016-02-10 17:56 - 2016-02-10 17:56 - 00000000 ____D C:\Users\User\AppData\Roaming\dlg 2016-02-10 17:52 - 2016-02-10 17:52 - 00553944 _____ C:\Users\User\Downloads\FreeDWGViewer (1).exe Działania wstępne: 1. Odinstaluj zbędny program Badanie mające na celu poprawę produktów HP Deskjet 1510 series oraz stare aplikacje QuickTime Alternative 1.65 + Real Alternative 1.46 (to produkcje z 2005!, luki). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [794376 2016-02-10] (TU-Funs LIMITED) Task: {15D2CBA2-4279-4BDF-A95F-08452878F2A8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main => 15000,1 Task: {30B668C5-84AF-4523-AA75-E094A65E5CD4} - System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D => C:\Program Files\Explore\iexloprer.exe Task: {8385325D-F003-462E-A21E-062307CEC9A5} - System32\Tasks\{0A017EBA-AD3B-4E28-A5B6-8E8C20DE64F6} => Chrome.exe hxxp://ui.skype.com/ui/0/6.13.73.104.456/pl/abandoninstall?page=tsWLM Task: {A24AA258-7249-4C6E-A896-6893B3340CE3} - System32\Tasks\{75D61F9B-C040-421C-9573-D13923BEC4F9} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {C01D0E67-6605-4720-AB5D-554B7FBCE928} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P => C:\WINDOWS\system32\WindowsPowerShell\taskprocess.exe Task: {CF81464F-3575-44FA-A9EE-B281197B74B9} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Task Host\taskhost.exe Task: {D214271E-0E7B-410E-A53A-AD2F3081B5CB} - System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Svc Host\svchost.exe Task: {F31512F0-50D7-4C06-8B2C-CAC4779BC42A} - System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 => 15000 Task: {FB687C88-3B2A-4513-9299-2975016B3078} - System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 => C:\Program Files\IIS\iis.exe [2016-02-10] (Microsoft) Task: {FFF1D61D-8AE0-47C8-B626-F4E416DFAD99} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main => C:\Users\User\AppData\Local\Temp\nskCFE5.tmp\ScreenCapture_Win8.exe <==== UWAGA HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES" CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES&q={searchTerms} CHR DefaultSearchKeyword: Default -> istartpageing DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\Program Files\Explore RemoveDirectory: C:\Program Files\IIS RemoveDirectory: C:\Program Files\Svc Host RemoveDirectory: C:\Program Files\Task Host RemoveDirectory: C:\Program Files\Task Server RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Users\User\AppData\Local\FileViewPro RemoveDirectory: C:\Users\User\AppData\Roaming\dlg RemoveDirectory: C:\Users\User\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\User\AppData\Roaming\Solvusoft RemoveDirectory: C:\WINDOWS\System32\Tasks\AVAST Software RemoveDirectory: C:\WINDOWS\system32\vbox RemoveDirectory: C:\WINDOWS\SysWOW64\vbox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\User\Desktop\Goodgame Empire.lnk C:\Users\User\Downloads\*-dp.* C:\Users\User\Downloads\FreeDWGViewer*.exe C:\Users\User\Downloads\pobierz*.* C:\Users\User\Downloads\Setup_FileViewPro_2016.exe C:\WINDOWS\system32\roboot64.exe C:\WINDOWS\system32\netcfg*.txt C:\WINDOWS\system32\Drivers\*.tmp C:\WINDOWS\system32\Drivers\aswNdisFlt.sys Folder: C:\WINDOWS\system32\Express EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz komunikat z obrazka. Odnośnik do komentarza
One92 Opublikowano 11 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Zazwyczaj po uruchomieniu systemu windows problem pojawiał się po około 30 sekundach, na razie nic nie wyskakuję, więc sądzę, że problem został rozwiązany, bardzo Ci dziękuję za czas jaki poświęciłaś na pomoc, wysyłam pliki o które prosiłaś. Co do programu to szukałem darmowego programu, który otwiera pliki z rozszerzeniami dwg i rvt. Nie stać mnie na autocada i inne programy, więc szukałem czegoś darmowego i się jak widać nadziałem. Jeszcze raz dziękuję i pozdrawiam! Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Nie odinstalowałeś wskazanych programów i to nadal aktualne. Poza tym wszystko gładko wykonane i nie widać już żadnych jawnych oznak infekcji. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Cytat Co do programu to szukałem darmowego programu, który otwiera pliki z rozszerzeniami dwg i rvt. Nie stać mnie na autocada i inne programy, więc szukałem czegoś darmowego i się jak widać nadziałem. Autodesk udostępnia darmowe nowoczesne przeglądarki: A360 Viewer (online) lub DWG TrueView (do instalacji). U Ciebie widzę zainstalowaną strasznie starą wersję z ... 2006 (!): Autodesk DWF Viewer 7 (HKLM-x32\...\{9A346205-EA92-4406-B1AB-50379DA3F057}) (Version: 7.0.0 - Autodesk, Inc.) Pozbądź się jej i nie instaluj takich archaicznych programów na nowoczesnym Windows 10. Odnośnik do komentarza
One92 Opublikowano 11 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Usunąłem 2 programy o których zapomniałem, AdwCleaner nie wykrył nic i pobieram aktualnie oprogramowanie ze strony autodesk, czy konieczne jest wysyłanie plików? Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 (edytowane) Skoro AdwCleaner nic nie wykrył, to log nie jest oczywiście potrzebny. Zrób jeszcze jeden skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log wynikowy. Edytowane 23 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi