MATIG Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Witam serdecznie. Jak w temacie, zrobiłem wszystkie potrzebne logi, prosiłbym kogoś o sprawdzenie ich czy przypadkiem komputer nie został poprzez tego maila w jakiś sposób zainfekowany. Był to mail dotyczący weryfikacji konta, w którym były dwa linki, w jednym linku był niby jakiś obrazek którego i tak nie było widać, drugi link dotyczył usunięcia konta, adresu email, trzeba było podać numer telefonu, oczywiście tego nie zrobiłem, odrazu zamknąłem. Proszę o sprawdzenie. Z góry dziękuje. Addition.txt FRST.txtShortcut.txtgmer2.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Jakiego konta dotyczył ten e-mail (Facebook, bank, ...)? W raportach brak jakichkolwiek oznak infekcji. Działania poboczne nie związane ze zgłoszonym problemem: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Software Update, Bonjour, Obsługa programów Apple, QuickTime 7. W QuickTime ostatnio wykryto poważne luki, Apple ich nie załata, usunięto wsparcie dla Windows. Widzę, że QuickTime co dopiero instalowałeś... 2. W Google Chrome odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome. Ono nie pochodzi z Chrome Web Store, montował je jakiś zewnętrzny instalator (w rejestrze reinstalatory globalne), poza tym na forum występowało w kontekście ... produkcji reklam. Reinstalatory z rejestru usunie poniższy skrypt FRST. 3. Skrypt usuwający wpisy puste, odpadki po odinstalowanym Firefox, czyszczący Tempy oraz naprawiający błędy PNRPSvc w Dzienniku. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\...\Run: [AdobeBridge] => [X] S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] CHR HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\MATIG\Cookies:p4iOetldWFSh1f50OK4z [2352] AlternateDataStreams: C:\Users\MATIG\AppData\Local\Temp:Om8SKt1OTpVwoE2rSUDE0c [2034] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MeGUI C:\Users\MATIG\AppData\Local\{62E9329C-EE00-4ED3-84C1-66AEE41D0D32} C:\Users\MATIG\AppData\Local\{E672B1B2-0E6E-4B4D-BC71-69D3FC3E5A7B} C:\Users\MATIG\AppData\Local\Mozilla C:\Users\MATIG\AppData\Roaming\Mozilla C:\Users\MATIG\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\MATIG\Desktop\Adobe Reader XI.lnk C:\Users\MATIG\Desktop\DAEMON Tools Lite.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
MATIG Opublikowano 16 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2016 Dziękuje bardzo za zainteresowanie sprawą . Odinstalowanie quick time jest konieczne? Zawsze go instalowałem do vegasa i after effects. Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Tylko jeśli jest on tak niezbędny, że nie dasz rady tego obejść. Apple również zaleca deinstalację. Z przyklejonego cytuję: QuickTime Aktualna wersja: QuickTime 7.7.9 dla Vista i Windows 7 Architektura wtyczek: w starszych wersjach ActiveX i NPAPI, w 7.7.9 brak wtyczek Biuletyny bezpieczeństwa: Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced Pobieranie nadal możliwe, ale ściśle zalecana deinstalacja zestawu Apple. Wykryte nowe poważne luki w oprogramowaniu. Apple nie załata ich, odpowiedzią firmy było wycofanie wsparcia dla Windows i oficjalna namowa na deinstalację. Proszę się także pozbyć z systemu bardzo starej nieoficjalnej wersji QuickTime Alternative. Odnośnik do komentarza
MATIG Opublikowano 16 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2016 Ok, to usuwam. Co do tego emaila to chodziło o skrzynkę pocztową. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Skrypt FRST wykonany pomyślnie. Skasuj przez SHIFT+DEL (omija Kosz) folder C:\FRST, z Pobranych folder FRST z programem i jego logami oraz GMER. Na koniec wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
MATIG Opublikowano 16 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2016 Z wszystkimi partycjami należy tak zrobić czy tylko z partycją systemową? Odnośnik do komentarza
picasso Opublikowano 16 Maja 2016 Zgłoś Udostępnij Opublikowano 16 Maja 2016 Czyszczenie folderów Przywracania systemu aplikuje się dla partycji które mają status Ochrony "Włączona" - domyślnie jest to tylko dysk systemowy. Odnośnik do komentarza
MATIG Opublikowano 17 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2016 Dzięki bardzo. Można zamknąć temat. Odnośnik do komentarza
Rekomendowane odpowiedzi