Awalabala Opublikowano 27 Stycznia 2018 Zgłoś Udostępnij Opublikowano 27 Stycznia 2018 Dzień dobry. Ostatnio borykam się z problemem zainfekowanej przeglądarki. Wizualnie objawia się ono zmianą nowej karty na New Tab i ustawieniem narzędzia wyszukiwania na "chromesearch.win" bez możliwości zmiany. Na komputerze nie ma programu który mógłby normalnie ingerować w to, a zakładka "Element docelowy" jest w normie. Problem nie został rozwiązany po zastosowaniu Adcleaner'a i Microsoft Security Client'a. Liczę na pomoc i z góry dziękuję. Dołączam logi. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Stycznia 2018 Zgłoś Udostępnij Opublikowano 27 Stycznia 2018 Po za przeglądarką Google Chrome w systemie brak widocznej infekcji. Odbędzie się: kasacja adware z przeglądarki / czyszczenie martwych wpisów, skrótów i pliku Hosts (widoczna nieaktywna strona) / szczątek po oprogramowaniu - m.in po przeglądarce Mozilla FireFox. Na przyszłość: widzę, że był używany SpyHunter, a to program o wątpliwej reputacji - decyzja należy do Ciebie czy będziesz go w przyszłości używał. Portale z oprogramowaniem / Instalatory - na co uważać 1. Widoczne są dwa oprogramowania zabezpieczające: AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189} AV: Symantec Endpoint Protection (Disabled - Up to date) {63DF5164-9100-186D-2187-8DC619EFD8BF} To nie jest poprawna konfiguracja zabezpieczenia systemu, gdyż programy te mogą wzajemnie dublować swoje działania. Proszę odinstalować jedno z nich. Sugeruję pozostać przy rozwiązaniu Symantec. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1-x32: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku ContextMenuHandlers2: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku ContextMenuHandlers4-x32: [CuteShellExt] -> {A09315EC-39D3-4ED3-B6A1-262DDC54A3C5} => -> Brak pliku HKU\S-1-5-21-851820673-2645049037-25093145-1000\Software\Classes\regfile: regedit.exe "%1" Winlogon\Notify\SEP-x32: C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\WinLogoutNotifier.dll [X] ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku CHR HomePage: Default -> hxxp://www.mysites123.com/?type=hp&ts=1451771130&z=568d90e4679cb0afb5e3cd4g0z9w3g7m5m8gcg8c7e&from=amt&uid=toshibaxmk3252gsx_z81dcbuktxxz81dcbukt CHR HKLM-x32\...\Chrome\Extension: [clgckgfbhciacomhlchmgdnplmdiadbj] - hxxps://clients2.google.com/service/update2/crx S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 vpnva; system32\DRIVERS\vpnva64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Codec Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cole2k Media - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\Strona WWW programu ALLPlayer V5.X.lnk C:\Users\Lukasz\Start Menu\Programs\SpyHunter\SpyHunter.lnk C:\Users\Lukasz\Start Menu\Programs\SpyHunter\Uninstall.lnk C:\Users\Lukasz\Links\Azymuty_20511.zip.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2012 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2013 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2014 — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2015_Katowice — skrót.lnk C:\Users\Lukasz\Documents\BTS Site Manager Data\R2015_Warszawa — skrót.lnk C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\Lukasz\AppData\Local\Microsoft\Windows\GameExplorer\{D0C46732-8F3F-40C2-B906-B594634EEB21}\PlayTasks\0\Zagraj.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lukasz\AppData\Local\Mozilla C:\Users\Lukasz\AppData\Roaming\Mozilla C:\Users\Lukasz\AppData\Roaming\Profiles Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (jedno widoczne tylko z poziomu rejestru usunąłem w skrypcie - adware). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (widoczny dostawca adware usunięty został już w skrypcie - sprawdź na pewno jest tam tylko Google). 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Awalabala Opublikowano 28 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2018 (edytowane) Zastosowałem zamiany... nie mogę tworzyć folderów, Start jest pusty, nie mogę w nim nic wyszukać, motywy nie działają bo "Ustawienia zabezpieczeń internetowych uniemozliwily... C\\Windows\system32\rundll32.exe... nie wpomnialem wcześniej bo uznałem to za mało istotne, że pulpit byl na dysku D przez co teraz wyskakują mi bledy z nim zwiazane Do tego od kiedy się wylogowalem nie mogę się zalogować ;_; Wyskakuje komunikat "Logowanie uslugi Usluga profilów użytkowników nie powiodlo sie. Nie można załadować profilu uzytkownika."Udało mi się wejść awaryjnie do Windowsa i przesyłam logi. Próbowałem przywracać system ale nie wyszło :/. Mam nadzieję że da się przywrócić normalne działanie systemu. Dodam jeszcze szybko, że stara ścieżka do pulpitu to: D:\Users\Lukasz\Desktop . Powodem zmiany tej ścieżki było to że pulpit zajmuje u mnie prawie 50GB. Dobrze... Korzystając z metody I "https://support.microsoft.com/pl-pl/help/947215/you-receive-a-the-user-profile-service-failed-the-logon-error-message"i "http://forum.programosy.pl/zmiana-lokalizacji-pulpitu-vp1019350.html" udało mi się wszystko przywrócić do normy... Najlepsze jest to, że wirusa już nie ma <3... Dzięki bardzo za pomoc i sorry za spam, ale to z powodu emocji <3 Fixlog.txt FRST.txt Addition.txt Edytowane 16 Lutego 2018 przez Rucek Łączę Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się