oshi22 Opublikowano 16 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2016 Witam Ostatnio na komputer wkradło mi się złośliwe oprogramowane z reklamami. Dodatkowo miałem trojan Bitcoinmeiner (możliwa zła pisownia). Po instalowały mi sie jakieś syfy typu SafeFInder youndoo i jakaś chińska przeglądarka. Ze wszystkim jakoś sobie poradziłem przy użyciu AdwCleaner oraz sugerując się opiniami / radami innych ludzi z różnych for. Problem polega na tym że gdy już poradziłem sobie z tym całym ustrojstwem zauważyłem dwa błędy otóż: 1: Windows Defender - nie chce się włączyć (szary "suwak"), w usługach lokalnych jest ustawione niby na automatyczny i stan usługi: działa. Pokazuje sie komunikat "ta aplikacja jest wyłączona przez zasady grupy" 2: Wyszukiwarka systemowa - nie działa tylko z poziomu menu start oraz brak reakcji na kliknięcie "lupy" na pasku zadan. W innych miejscach działął prawidłowo. EDIT 3: nie działają również zaasady grupy (gpedit) napisane jest że nie może odnaleźć gpedit.msc Dołączam logi z FRST Z góry dziękuje za pomoc. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2016 Zgłoś Udostępnij Opublikowano 14 Września 2016 (edytowane) 1: Windows Defender - nie chce się włączyć (szary "suwak"), w usługach lokalnych jest ustawione niby na automatyczny i stan usługi: działa. Pokazuje sie komunikat "ta aplikacja jest wyłączona przez zasady grupy" Będę sprawdzać polityki Windows Defender ustawione w rejestrze. 2: Wyszukiwarka systemowa - nie działa tylko z poziomu menu start oraz brak reakcji na kliknięcie "lupy" na pasku zadan. W innych miejscach działął prawidłowo. To nie jest raczej związane z infekcją. Być może: nie działa usługa wyszukiwania, naruszone komponenty systemowe, wadliwe rozszerzenie powłoki eksplorer. nie działają również zaasady grupy (gpedit) napisane jest że nie może odnaleźć gpedit.msc To normalne. Twój system nie obsługuje edycji gpedit. Ta możliwość jest w Pro i Enterprise. Platform: Windows 10 Home (X64) Język: Polski (Polska) Nie próbuj przypadkiem instalować nieoficjalnych paczek rzekomo implementujących gpedit na edycjach Home. To nie działa poprawnie. W systemie widać tylko szczątki infekcji i odinstalowanych aplikacji. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program Lenovo Experience Improvement. Jeśli nie korzystasz, możesz się też pozbyć REACHit i SHAREit. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK i Metric Collection SDK 35. Dwie pozycje, więc program należy uruchomić dwa razy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\ProgramData\Konksolex\ZoneGotam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\Hattraxtouch.dll => Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3562009082-1077438095-1519389639-1001 -> {046BF511-2AAC-4E4A-96F8-813EB01E3F81} URL = S2 Citdhwa; "C:\Users\OSHI\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.5.471.0\McCSPServiceHost.exe" [X] S2 nplus; "C:\Program Files\ktip\ktip.exe" /s iid=8202248 did=APSFTuto4PC sid=11 ref=42b4b248-27ad-c56a-8635-19532422e091-PolicyMac id=2f06fafcae001e9deaa8c16f5bb034930462277e3185461210b98f9f4f562a1f [X] S4 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2016-08-14] (Zemana Ltd.) S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {5C6D597E-D422-4F1F-ACD9-DB72AB5CADD6} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe Task: {83579E3D-859E-4993-94E8-78C5A414E94B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {8A5B1FAF-F2BC-4DD3-BA36-0860DF12FE67} - \{CF64F1F3-5270-43E2-8720-4927EC49D27F} -> Brak pliku Task: {B2B5E1D6-758F-4DF0-91BB-83349233FD95} - System32\Tasks\{9B7C31D8-3596-4F2E-A6F3-D9C67824A619} => pcalua.exe -a "C:\Program Files (x86)\ContentPush\uninstall.exe" -c /uninstall Task: {EC76D032-914D-4187-927B-1887EE2ED5D7} - System32\Tasks\Dahashhecech Reports => C:\Program Files (x86)\Phervck\DahashhecechReportszlt.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B6790A07-E8FA-4B86-844E-EA12EFC94972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\żěŃą C:\Program Files\nplus C:\Program Files (x86)\bsgB99D C:\Program Files (x86)\sbqh C:\Program Files (x86)\Security Task Manager C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Winamp C:\Program Files (x86)\yu6D58C C:\Program Files (x86)\Zemana AntiMalware C:\ProgramData\AVAST Software C:\ProgramData\SecTaskMan C:\Users\OSHI\AppData\Local\cooqolemetetionsuzaward C:\Users\OSHI\AppData\Local\Tempfolder C:\Users\OSHI\AppData\Local\UCBrowser C:\Users\OSHI\AppData\Local\Zemana C:\Users\OSHI\AppData\LocalLow\Company C:\Users\OSHI\AppData\Roaming\*.* C:\Users\OSHI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\OSHI\AppData\Roaming\Mozilla C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\system32\Drivers\zamguard64.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\pido CMD: netsh advfirewall reset Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WSearch /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 24 Października 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi