damianos071993 Opublikowano 14 Marca 2017 Zgłoś Udostępnij Opublikowano 14 Marca 2017 Witam. Wczoraj otworzyłem plik który niestety wprowadził mi jakieś śmieci do systemu. Co jakiś czas widzę że kilka nowych kart się samych otwiera i dodatkowo nie działa mi pasek zadań, tzn nie działa start z windowsa 10 (jako że operuję nakładką startu z windowsa 7 to mogę w niego wejść) i nie działają po kliknięciu ikonki na pasku wraz z powiadomieniami. Co do tego drugiego problemu to nie jestem pewien, czy sam nie nawywijałem, bo zanim poczytałem na forum, uruchomiłem OTL i kliknąłem sprzątanie, więc nie mam pewności czy przed tą operacją też nie działał. Wstawiam log z GMER w załączniku. FRST natomiast nie mogę za nic uruchomić. próbowałem wersję 64 bit 32 bit, nie odpala w trybie awaryjnym, ani zmiana nazwy też nie pomaga. Z programem CCleaner jest podobnie. Czekam na pomoc. Pozdrawiam. GMER.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Co do tego drugiego problemu to nie jestem pewien, czy sam nie nawywijałem, bo zanim poczytałem na forum, uruchomiłem OTL i kliknąłem sprzątanie, więc nie mam pewności czy przed tą operacją też nie działał. Niestety, ale OTL jest nierozwijany i niebezpieczny, więc potencjalnie to może być jego wina. A Sprzątanie to nie opcja dezynfekcyjna, ona tylko odinstalowuje OTL. Proszę dostarcz jeszcze wymagany zestaw raportów systemowych FRST (ze środowiska WinRe). Odnośnik do komentarza
damianos071993 Opublikowano 15 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2017 Okej. Poszukałem i dało się odpalić tylko z WinRe. Załącznik w 1 poście Odnośnik do komentarza
Miszel03 Opublikowano 15 Marca 2017 Zgłoś Udostępnij Opublikowano 15 Marca 2017 Tak, chodziło mi od WinRe. Odpowiem jutro Odnośnik do komentarza
damianos071993 Opublikowano 16 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2017 Dzięki za zainteresowanie, jakieś postępy? Jutro już na pewno odpowiem. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 18 Marca 2017 Zgłoś Udostępnij Opublikowano 18 Marca 2017 Więc tak: widać elementy jakiejś infekcji, do tego szczątki po adware. System wygląda na nieoryginalny, widać cracki. Proszę odinstaluj je w miarę możliwość, bo to niebezpieczne twory. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM-x32\...\Run: [] => [X]HKLM\...\RunOnce: [DESKTOP-5691JFE] => C:\WINDOWS\TEMP\g7CDF.tmp.exe [249344 2017-03-14] () HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0HKLM\...\Policies\Explorer: [NoInstrumentation] 1HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0HKLM\888\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exeGroupPolicy: Restriction S2 QForlLgs0EYm Updater; C:\Program Files (x86)\QForlLgs0EYm Updater\QForlLgs0EYm Updater.exe [X]C:\Program Files (x86)\QForlLgs0EYm UpdaterS3 EverestDriver; \??\C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64 [X]S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]C:\WINDOWS\TEMP\g7CDF.tmp.exeEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 3. Spróbuj wygenerować teraz kompletny zestaw raportów FRST ze środowiska normalnego. Dostarcz też plik Fixlog.txt. Jeśli jednak nadal będzie to niemożliwe, to zrobisz raport z narzędzia MiniToolBox, opcje wg poniższego wzoru. Odnośnik do komentarza
damianos071993 Opublikowano 18 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2017 Ok, instrukcja wykonana. Pasek dalej nie działa, ale już nie blokuje FRST. Raporty wykonane w załączniku Jutro odpowiem lub dziś odpowiem. //Miszel03 Fixlog.txt Addition.txt FRST.txt Shortcut.txt AdwCleanerS2.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Marca 2017 Zgłoś Udostępnij Opublikowano 25 Marca 2017 Teraz kiedy mam już normalny dostęp mogę powiedzieć, że infekcję adware się nie usunęły. Podejść drugie. P.S: Czy zagraniczne DNS są ustawieniem celowym? Jeśli to ustawienie celowe to usuń ze skryptu w pkt. 2 linijkę CMD: ipconfig /flushdns, a z AdwCleaner odznacz: Data Found: HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136Data Found: [x64] HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136 Jeśli natomiast nie to nic nie rób tylko wykonaj wszystkie kroki. Paskiem zadań zajmiemy się na końcu - jak wyleczymy system. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM\...\RunOnce: [DESKTOP-5691JFE] => C:\WINDOWS\TEMP\g8657.tmp.exe [249344 2017-03-18] () HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\system: [NoDispAppearancePage] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoPreviewPane] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayContextMenu] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoSetTaskbar] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoViewContextMenu] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoWinkeys] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayItemsDisplay] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideClock] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCANetwork] 0HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCAVolume] 0ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No FileShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No FileShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No FileShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No FileShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No FileShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No FileHKU\S-1-5-21-1922636286-9306992-3665695711-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction Task: {17AB1F21-A5A2-4078-9A55-569E050388E5} - System32\Tasks\v4-0-30319\ngen => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDTask: {323BB2AD-D680-45C5-A445-C91DF7938EEB} - System32\Tasks\v4 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDTask: {3E2D6A0F-9B89-44E8-B7C1-029AB44634FB} - System32\Tasks\7368e7341e2044H34 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {7F1C774A-E1F5-4222-8A83-283FD2C72CBA} - System32\Tasks\ielowutil => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDTask: {DA7896D3-833F-4041-83F7-71E1E0B4F6BB} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe Task: {F4F4A3E4-1AB0-41CB-AA9D-74E5D9245640} - System32\Tasks\ielowutil-exe => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDTask: {FC35E804-4A6F-476F-A80E-181C44C17C19} - System32\Tasks\v4-0-30319\mscorsvw => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDTask: {FDB06B8F-D88D-4CA6-9D10-B91200B34BED} - System32\Tasks\v4-0 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLDRemoveDirectory: C:\ProgramData\7368e7341e2044H34ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movie Maker.lnC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Photo Gallery.lnkC:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnkC:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnkCMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
damianos071993 Opublikowano 25 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2017 DNS nie był celowy. Dostarczam raporty. Dodam też że na różnych stronach mam przekreślone kłódki (np na tej), połączenie nie jest bezpieczne, staram się nie logować do banku z tego komputera, choć tam przekreślona akurat nie jest. Addition.txt FRST.txt Shortcut.txt malwarebytes.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 26 Marca 2017 Zgłoś Udostępnij Opublikowano 26 Marca 2017 DNS nie był celowy. To już wyleczone, bo tak też myślałem, więc podałem instrukcje od razu. Dodam też że na różnych stronach mam przekreślone kłódki (np na tej), połączenie nie jest bezpieczne, staram się nie logować do banku z tego komputera, choć tam przekreślona akurat nie jest. To normalne, bo bank szyfruję połączenie, a inne strony - nie dokońca. Wygląda to już OK. Powiedz mi czy problem z otwierającymi się stronami i reklamami ustąpił. Nada paskiem zadań muszę pomyśleć, bo nic nie piszesz, żeby się naprawił. Myślałem, że to wina ograniczeń polityk. 1. Zagrożenia wykryte przez MBAM daj do kasacji. 2. Otwórz Notatnik w nim wklej: Task: {48B01F77-0A3F-4790-84ED-6232F95758FC} - System32\Tasks\flashplayerupdateservice => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog). Odnośnik do komentarza
damianos071993 Opublikowano 26 Marca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2017 To normalne, bo bank szyfruję połączenie, a inne strony - nie dokońca. A normalne jest, że kiedy się tutaj loguje to pod polem hasło pojawia się "Połączenie nie jest zabezpieczone. Dane logowania mogą zostać przechwycone"? W sumie wczoraj nie wiem czemu myślałem że nie ustąpiło, ale sprawdziłem dziś i jest w porządku. Najwięcej tych reklam było na allegro po wejściu w konkretną aukcję. Teraz cisza. Dziękuję. Z paskiem nic się nie zmieniło. Ikony po prawej jak i centrum powiadomień po kliknięciu pojawia się na ułamek sekundy klepsydra i nic się nie dzieje. Prawoklik na pasku działa, więc mogę np otworzyc menedżer zadań. Nie działa natomiast prawoklik np na Firefox. Opcje żadne się nie pojawiają. Zorientowałem się przed momentem, że nie działają wszystkie aplikacje Modern UI związane z Windowsem 10, jak np Microsoft Edge, Kalkulator itp. Pokazuje się logo aplikacji i coś je ubija. Więc pewnie ma to też związek z paskiem zadań. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się