Otwierające się strony, nie działający pasek zadań

[damianos071993]

Witam.

Wczoraj otworzyłem plik który niestety wprowadził mi jakieś śmieci do systemu. Co jakiś czas widzę że kilka nowych kart się samych otwiera i dodatkowo nie działa mi pasek zadań, tzn nie działa start z windowsa 10 (jako że operuję nakładką startu z windowsa 7 to mogę w niego wejść) i nie działają po kliknięciu ikonki na pasku wraz z powiadomieniami. Co do tego drugiego problemu to nie jestem pewien, czy sam nie nawywijałem, bo zanim poczytałem na forum, uruchomiłem OTL i kliknąłem sprzątanie, więc nie mam pewności czy przed tą operacją też nie działał.

 

Wstawiam log z GMER w załączniku. FRST natomiast nie mogę za nic uruchomić. próbowałem wersję 64 bit 32 bit, nie odpala w trybie awaryjnym, ani zmiana nazwy też nie pomaga. Z programem CCleaner jest podobnie.

Czekam na pomoc.

Pozdrawiam.

GMER.txt

FRST.txt

[Miszel03]

Co do tego drugiego problemu to nie jestem pewien, czy sam nie nawywijałem, bo zanim poczytałem na forum, uruchomiłem OTL i kliknąłem sprzątanie, więc nie mam pewności czy przed tą operacją też nie działał.

 

 

Niestety, ale OTL jest nierozwijany i niebezpieczny, więc potencjalnie to może być jego wina. A Sprzątanie to nie opcja dezynfekcyjna, ona tylko odinstalowuje OTL. 

 

---

 

Proszę dostarcz jeszcze wymagany zestaw raportów systemowych FRST (ze środowiska WinRe). 

[damianos071993]

Okej. Poszukałem i dało się odpalić tylko z WinRe. Załącznik w 1 poście

 

 

[Miszel03]

Tak, chodziło mi od WinRe. Odpowiem jutro  

[damianos071993]

Dzięki za zainteresowanie, jakieś postępy?

 

Jutro już na pewno odpowiem. //Miszel03

[Miszel03]

Więc tak: widać elementy jakiejś infekcji, do tego szczątki po adware. System wygląda na nieoryginalny, widać cracki. Proszę odinstaluj je w miarę możliwość, bo to niebezpieczne twory.

 

1. Włącz przywracanie systemu.

 

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\RunOnce: [DESKTOP-5691JFE] => C:\WINDOWS\TEMP\g7CDF.tmp.exe [249344 2017-03-14] () HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKLM\888\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe
GroupPolicy: Restriction S2 QForlLgs0EYm Updater; C:\Program Files (x86)\QForlLgs0EYm Updater\QForlLgs0EYm Updater.exe [X]
C:\Program Files (x86)\QForlLgs0EYm Updater
S3 EverestDriver; \??\C:\Program Files (x86)\Lavalys\EVEREST Ultimate Edition\kerneld.amd64 [X]
S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X]
C:\WINDOWS\TEMP\g7CDF.tmp.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.
 
3. Spróbuj wygenerować teraz kompletny zestaw raportów FRST ze środowiska normalnego. Dostarcz też plik Fixlog.txt.
 
Jeśli jednak nadal będzie to niemożliwe, to zrobisz raport z narzędzia MiniToolBox, opcje wg poniższego wzoru. 
 

[damianos071993]

Ok, instrukcja wykonana. Pasek dalej nie działa, ale już nie blokuje FRST. Raporty wykonane w załączniku

 

Jutro odpowiem lub dziś odpowiem. //Miszel03

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS2.txt

[Miszel03]

Teraz kiedy mam już normalny dostęp mogę powiedzieć, że infekcję adware się nie usunęły. Podejść drugie. P.S: Czy zagraniczne DNS są ustawieniem celowym? Jeśli to ustawienie celowe to usuń ze skryptu w pkt. 2 linijkę CMD: ipconfig /flushdns, a z AdwCleaner odznacz:  
 
Data Found:  HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136
Data Found:  [x64] HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{79adc9dc-b9aa-4f4c-b16f-75f0e85bd3d7} [NameServer] - 82.163.142.8,95.211.158.136
 
Jeśli natomiast nie to nic nie rób tylko wykonaj wszystkie kroki. Paskiem zadań zajmiemy się na końcu - jak wyleczymy system.
 
1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 
 
2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [DESKTOP-5691JFE] => C:\WINDOWS\TEMP\g8657.tmp.exe [249344 2017-03-18] () HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoPreviewPane] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoWinkeys] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [NoTrayItemsDisplay] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideClock] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCANetwork] 0
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\...\Policies\Explorer: [HideSCAVolume] 0
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\damia\AppData\Local\MEGAsync\ShellExtX32.dll -> No File
HKU\S-1-5-21-1922636286-9306992-3665695711-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction Task: {17AB1F21-A5A2-4078-9A55-569E050388E5} - System32\Tasks\v4-0-30319\ngen => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Task: {323BB2AD-D680-45C5-A445-C91DF7938EEB} - System32\Tasks\v4 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Task: {3E2D6A0F-9B89-44E8-B7C1-029AB44634FB} - System32\Tasks\7368e7341e2044H34 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD Task: {7F1C774A-E1F5-4222-8A83-283FD2C72CBA} - System32\Tasks\ielowutil => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Task: {DA7896D3-833F-4041-83F7-71E1E0B4F6BB} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe 
Task: {F4F4A3E4-1AB0-41CB-AA9D-74E5D9245640} - System32\Tasks\ielowutil-exe => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Task: {FC35E804-4A6F-476F-A80E-181C44C17C19} - System32\Tasks\v4-0-30319\mscorsvw => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Task: {FDB06B8F-D88D-4CA6-9D10-B91200B34BED} - System32\Tasks\v4-0 => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
RemoveDirectory: C:\ProgramData\7368e7341e2044H34
ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movie Maker.ln
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Photo Gallery.lnk
C:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\damia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
CMD: ipconfig /flushdns 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[damianos071993]

DNS nie był celowy. Dostarczam raporty. Dodam też że na różnych stronach mam przekreślone kłódki (np na tej), połączenie nie jest bezpieczne, staram się nie logować do banku z tego komputera, choć tam przekreślona akurat nie jest.

Addition.txt

FRST.txt

Shortcut.txt

malwarebytes.txt

Fixlog.txt

[Miszel03]

DNS nie był celowy.

 

To już wyleczone, bo tak też myślałem, więc podałem instrukcje od razu. 

 

Dodam też że na różnych stronach mam przekreślone kłódki (np na tej), połączenie nie jest bezpieczne, staram się nie logować do banku z tego komputera, choć tam przekreślona akurat nie jest.

 

To normalne, bo bank szyfruję połączenie, a inne strony - nie dokońca. 

 

Wygląda to już OK. Powiedz mi czy problem z otwierającymi się stronami i reklamami ustąpił. Nada paskiem zadań muszę pomyśleć, bo nic nie piszesz, żeby się naprawił. Myślałem, że to wina ograniczeń polityk.

 

1. Zagrożenia wykryte przez MBAM daj do kasacji. 

 

2. Otwórz Notatnik w nim wklej:

 

Task: {48B01F77-0A3F-4790-84ED-6232F95758FC} - System32\Tasks\flashplayerupdateservice => Rundll32.exe "C:\ProgramData\7368e7341e2044H34\7368e7341e2044H34.dll",eHeZcuQLD
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog).

[damianos071993]

 To normalne, bo bank szyfruję połączenie, a inne strony - nie dokońca.

A normalne jest, że kiedy się tutaj loguje to pod polem hasło pojawia się "Połączenie nie jest zabezpieczone. Dane logowania mogą zostać przechwycone"?

 

W sumie wczoraj nie wiem czemu myślałem że nie ustąpiło, ale sprawdziłem dziś i jest w porządku. Najwięcej tych reklam było na allegro po wejściu w konkretną aukcję. Teraz cisza. Dziękuję.

 

Z paskiem nic się nie zmieniło. Ikony po prawej jak i centrum powiadomień po kliknięciu pojawia się na ułamek sekundy klepsydra i nic się nie dzieje. Prawoklik na pasku działa, więc mogę np otworzyc menedżer zadań. Nie działa natomiast prawoklik np na Firefox. Opcje żadne się nie pojawiają.

 

 

 

Zorientowałem się przed momentem, że nie działają wszystkie aplikacje Modern UI związane z Windowsem 10, jak np Microsoft Edge, Kalkulator itp. Pokazuje się logo aplikacji i coś je ubija. Więc pewnie ma to też związek z paskiem zadań.