Piksonx1 utworzono 5 lutego 2022 utworzono 5 lutego 2022 (edytowane) Hej, Mam problem z find-it.pro/. Zmieniło stronę startową przeglądarki Mimo używania adwcleaner i innymi programami które sam znalezłem w internecie mi tego nie usuneło tak samo próbowałem usunąć rozszerzenie. Pamiętałem, że taki dział jest na forum :D. Mam nadzieję, że mimo nowego konta pomożecie . Złośliwość rzeczy martwych... Nowy komputer i w 2 dniu takie coś. Poprzednio nie miałem takich problemów przez kilka lat xD Addition.txt FRST.txt Edytowane 5 lutego 2022 przez Piksonx1
Ten post jest popularny. Twój_Anioł_Stróż komentarz 6 lutego 2022 Ten post jest popularny. komentarz 6 lutego 2022 Jest infekcja. 1) SpyHunter nie jest zaufanym skanerem. Spróbuj odinstalować w ten sposób: kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall) wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje. 2) Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) START:: Task: {04D0325B-1C08-4BF9-9AC1-1CB6D9441505} - System32\Tasks\vdNBIYcIZwjhiTh2 => rundll32 "C:\Program Files (x86)\RDKdtFxIU\KrKmZW.dll",#1 Task: {1C616DB7-DC45-468A-85B2-AB3F5FAF17F6} - System32\Tasks\ZmTpwqQIPzYwe2 => C:\Windows\system32\wscript.exe "C:\ProgramData\QcPNMletbjryEMVB\RHokFIY.wsf" Task: {57FE6C05-35BD-4741-A357-6BFFF0DDD306} - System32\Tasks\LPdWkZBghMrricAlZ2 => rundll32 "C:\Program Files (x86)\lEaFnDIoxGLwtOapFWR\RCXhRjr.dll",#1 Task: {EC8DF503-BA8D-4103-8F5A-98EB918E5EC3} - System32\Tasks\bdJGceVSPxsponwmAQf2 => rundll32 "C:\Program Files (x86)\mtNVRJDMvGyrC\qFebnpH.dll",#1 Task: {FE679733-CA44-42C1-B513-F8E744BF0448} - System32\Tasks\CpEuqABNCLMAAq => rundll32 "C:\Program Files (x86)\iZCBkdcTqoAU2\NKUrcKUmlZiWt.dll",#1 RemoveDirectory: C:\Program Files (x86)\iZCBkdcTqoAU2 RemoveDirectory: C:\Program Files (x86)\mtNVRJDMvGyrC RemoveDirectory: C:\Program Files (x86)\lEaFnDIoxGLwtOapFWR RemoveDirectory: C:\ProgramData\QcPNMletbjryEMVB RemoveDirectory: C:\Program Files (x86)\RDKdtFxIU CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" CHR DefaultSuggestURL: Profile 1 -> hxxps://www.google.ru/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&q={searchTerms} CHR Extension: (Adblocker for Youtube™) - C:\Users\48724\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2022-02-02] [UpdateUrl:hxxps://clients87.google.com/service/update2/crx] <==== UWAGA CHR Extension: (Google Slides Offline) - C:\Users\48724\AppData\Local\Google\Chrome\User Data\Default\Extensions\iekgbdpnpffnlhdgidnfefbmfffpldig [2022-02-04] [UpdateUrl:hxxps://clients93.google.com/service/update2/crx] <==== UWAGA CHR Extension: (Adblocker for Youtube™) - C:\Users\48724\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2022-02-02] [UpdateUrl:hxxps://clients75.google.com/service/update2/crx] <==== UWAGA FirewallRules: [{2C0BB5EF-4EF7-41B0-9851-A5D7ACCFCB23}] => (Allow) 㩃啜敳獲㑜㜸㐲䅜灰慄慴剜慯業杮瑜捯睜䉳䡱攮數 => Brak pliku FirewallRules: [{7E371777-1CDA-4EA4-A4AC-0EBF81EF5D98}] => (Allow) 㩃啜敳獲㑜㜸㐲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Brak pliku FirewallRules: [{9376276F-1503-45A0-BA22-0381ACEC629E}] => (Allow) 㩃啜敳獲㑜㜸㐲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Brak pliku FirewallRules: [{A04E8364-B936-4A7A-B434-36E01E0CC71F}] => (Allow) 㩃啜敳獲㑜㜸㐲䅜灰慄慴剜慯業杮瑜捯卜業⹑硥e => Brak pliku FirewallRules: [{992F9412-8891-4FBD-926E-3A7536BC6188}] => (Allow) C:\Users\48724\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [{3898ECD8-17AA-4B90-8003-8C268BDE4768}] => (Allow) C:\Users\48724\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR Extension: (Adblocker for Youtube™) - C:\Users\48724\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2022-02-02] [UpdateUrl:hxxps://clients34.google.com/service/update2/crx] <==== UWAGA CHR Extension: (Adblocker for Youtube™) - C:\Users\48724\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2022-02-02] [UpdateUrl:hxxps://clients69.google.com/service/update2/crx] <==== UWAGA OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms} OPR DefaultSearchKeyword: Opera Stable -> find-it.pro OPR DefaultSuggestURL: Opera Stable -> hxxps://suggest.yandex.ru/suggest-ya.cgi?v=4&part={searchTerms}&l10n={language} 2022-02-02 18:47 - 2022-02-03 16:56 - 000000004 _____ () C:\ProgramData\lock.dat 2022-02-02 18:48 - 2022-02-03 16:56 - 000000004 _____ () C:\ProgramData\rc.dat 2022-02-02 18:47 - 2022-02-02 18:47 - 000000008 _____ () C:\ProgramData\ts.dat Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). 3) Znasz te: Cytuj hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz 4) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, . 1 1
Piksonx1 komentarz 6 lutego 2022 Autor komentarz 6 lutego 2022 (edytowane) Okej dzięki bardzo 1. Zrobione 2. Zrobione 3. Nie mam pojęcia-nic mi te nazwy nie mówią. Jedynie tracking mi się z przesyłkami kojarzy lub śledzeniem celownikiem za przeciwnikiem 4.Okej jasne Fixlog.txt Addition.txt Shortcut.txt FRST.txt Edytowane 6 lutego 2022 przez Piksonx1
Twój_Anioł_Stróż komentarz 6 lutego 2022 komentarz 6 lutego 2022 Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) Cytuj START:: CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/" CHR Notifications: Profile 1 -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz OPR Notifications: Opera Stable -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms} OPR Extension: (Find-it.Pro Search) - C:\Users\48724\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2022-02-02] S3 cpuz152; \??\C:\Windows\temp\cpuz152\cpuz152_x64.sys [X] EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Napisz, jaka sytuacja po tych usuwaniach? Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytuj find-it.pro kliknij na przycisk "Search Registry" (Szukaj w Rejestrze). Raport z tego będzie tam, gdzie jest FRST. 1
Piksonx1 komentarz 6 lutego 2022 Autor komentarz 6 lutego 2022 Ok zrobione chyba się udało SearchReg.txtFixlog.txt
Twój_Anioł_Stróż komentarz 6 lutego 2022 komentarz 6 lutego 2022 Cytuj OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms} => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia. OPR Extension: (Find-it.Pro Search) - C:\Users\48724\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2022-02-02] => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia. Nie mam Opery, więc nie wiem, gdzie w niej tego szukać. Może przeinstaluj Operę? . 1
Piksonx1 komentarz 6 lutego 2022 Autor komentarz 6 lutego 2022 (edytowane) Z chrome mimo reinstalacji i usunięcia z rozszerzeń nie znikało. Opera poszła do śmieci ;). (Już usunięta) Dzięki bardzo za pomoc Edytowane 6 lutego 2022 przez Piksonx1
toldi79 komentarz 16 września 2022 komentarz 16 września 2022 Witam. Podłączam się do powyższego problemu. Wykonałem poszczególne kroki z wiadomości powyżej i moje załączam. Czy powinienem zrobić coś jeszcze?SearchReg.txtAddition.txt FRST.txt Fixlog.txt SearchReg.txtAddition.txt
Twój_Anioł_Stróż komentarz 16 września 2022 komentarz 16 września 2022 Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie w schowku tę "fixlist" START:: Task: {214EBBE4-C3B5-4406-AAD1-47DC22DF0CFA} - System32\Tasks\hBcjlzkhcXLvpt => rundll32 "C:\Program Files (x86)\CbGKMhHfMCRU2\XaFUpSZACeGEC.dll",#1 Task: {35BB51B6-7ABE-4278-98F3-A81BC8AD8170} - System32\Tasks\GKbkvfEUYjwacdXeh2 => rundll32 "C:\Program Files (x86)\YrtbnvOoUWFkoSLcHLR\mVebdRH.dll",#1 Task: {54CBF0FB-D0CC-46D5-A197-9036AC8C2182} - System32\Tasks\wtuMjvkgsgNlhgy2 => rundll32 "C:\Program Files (x86)\ZwtfRubqU\aUSAeE.dll",#1 Task: {D2BE7A8E-6C37-4A6E-A5BA-C59174AE9761} - System32\Tasks\ltyaAxOsxlnzEEjIBgz2 => rundll32 "C:\Program Files (x86)\JGBUBYEKciMFC\ymrrvMM.dll",#1 RemoveDirectory: C:\Program Files (x86)\YrtbnvOoUWFkoSLcHLR RemoveDirectory: C:\Program Files (x86)\ZwtfRubqU RemoveDirectory: C:\Program Files (x86)\JGBUBYEKciMFC RemoveDirectory: C:\Program Files (x86)\CbGKMhHfMCRU2 OPR Extension: (Find-it.Pro Search) - C:\Users\mariu\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2022-09-13] RemoveDirectory: C:\Users\mariu\Downloads\FRST-OlderVersion HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-3438282827-2680905338-1579768418-1001\...\Policies\Explorer: [] ShortcutTarget: ncsyncer.lnk -> C:\Users\mariu\AppData\Roaming\NCH Software\DrawPad\DpEditor.exe (Brak pliku) Task: {44D9EA83-003D-4CCF-AB96-E138C7142CF0} - \dialersvc64 -> Brak pliku <==== UWAGA Task: {FD7E4172-C57E-49E0-B5CC-1350CC55382D} - \dialersvc32 -> Brak pliku <==== UWAGA S2 hasplms; %SystemRoot%\System32\hasplms.exe -run [X] 2022-09-13 14:14 - 2022-09-13 14:14 - 000000000 ____D C:\Users\mariu\AppData\Roaming\u3xrvO 2022-09-13 14:14 - 2022-09-13 14:14 - 000000000 ____D C:\Users\mariu\AppData\Roaming\KNrVK89 2022-09-13 14:13 - 2022-09-14 07:14 - 000000016 _____ C:\ProgramData\lir.bats 2022-09-13 14:12 - 2022-09-13 14:56 - 000000000 ____D C:\Users\mariu\AppData\Roaming\LCNZAjBSqG 2022-09-13 14:12 - 2022-09-13 14:56 - 000000000 ____D C:\Users\mariu\AppData\Roaming\4A5C6E3265BC11C0 2022-09-13 14:12 - 2022-09-13 14:56 - 000000000 ____D C:\ProgramData\RpqcRrvxbMMDMrVB 2022-09-13 14:12 - 2022-09-13 14:13 - 000000000 ____D C:\Users\mariu\AppData\Roaming\rkeD7icKfv C:\Users\mariu\AppData\Roaming\374B.tmp C:\WINDOWS\Minidump\*.dmp C:\ProgramData\boost_interprocess FirewallRules: [{E9584B44-5B1D-4EF2-8D2F-2BF2BAC52CE6}] => (Allow) 㩃啜敳獲浜牡畩䅜灰慄慴剜慯業杮瑜捯䥜副偖攮數 => Brak pliku FirewallRules: [{B3550C8B-827A-4315-8208-917558A90139}] => (Allow) 㩃啜敳獲浜牡畩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Brak pliku FirewallRules: [{D878F5D0-83E6-45FA-BA54-D20FD7472129}] => (Allow) 㩃啜敳獲浜牡畩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Brak pliku FirewallRules: [{3F1EADCE-2186-425E-8DC8-0797765E8050}] => (Allow) 㩃啜敳獲浜牡畩䅜灰慄慴剜慯業杮瑜捯捜䄷硥e => Brak pliku HOSTS: EmptyEventLogs: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Napisz, czy problem znikł? . 1
toldi79 komentarz 16 września 2022 komentarz 16 września 2022 Problem chyba znikł. W załączeniu Fixlog. Dziękuję.Fixlog.txt
Twój_Anioł_Stróż komentarz 16 września 2022 komentarz 16 września 2022 Cytuj "C:\Program Files (x86)\YrtbnvOoUWFkoSLcHLR" => nie znaleziono "C:\Program Files (x86)\ZwtfRubqU" => nie znaleziono "C:\Program Files (x86)\JGBUBYEKciMFC" => nie znaleziono "C:\Program Files (x86)\CbGKMhHfMCRU2" => nie znaleziono Nie wiem, dlaczego "nie znaleziono" Zrób nowy log FRST. ================ Cytuj OPR Extension: (Find-it.Pro Search) - C:\Users\mariu\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2022-09-13] => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia. Jak widać, w Operze trzeba samemu znaleźć to rozszerzenie, i usunąć. 1
toldi79 komentarz 16 września 2022 komentarz 16 września 2022 Shortcut.txtFRST.txtAddition.txtPliki w załączeniu.
Twój_Anioł_Stróż komentarz 16 września 2022 komentarz 16 września 2022 Cytuj C:\Program Files (x86)\YrtbnvOoUWFkoSLcHLRC:\Program Files (x86)\ZwtfRubqUC:\Program Files (x86)\JGBUBYEKciMFCC:\Program Files (x86)\CbGKMhHfMCRU2 Tych obiektów w nowych logach nie widać, bo przedtem były widoczne tylko w Zaplanowanych Zadań, a te zostały już usunięte. Tak więc sam sprawdź ręcznie, czy te obiekty istnieją. Jeśli dalej są to spróbujesz je usunąć ręcznie. ================= Kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) Cytuj START:: CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1455639788&z=fed907902dbc82c6b9d85acg5z4w0w3q7cft0m8b8b&from=amt&uid=kingstonxsv300s37a120g_50026b77450235c6", "hxxps://find-it.pro/?utm_source=distr_m" C:\Users\mariu\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig C:\Users\mariu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ncsyncer.lnk EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). 1
shogun137 komentarz 9 grudnia 2022 komentarz 9 grudnia 2022 (edytowane) Dzień dobry, Mam podobny problem co autor wątku, także się podłączam i bardzo proszę o pomoc. (nie mogę znaleźć danych do logowania, ale ostatni raz byłem tutaj 12 lat temu, uśpiona czujność - sądziłem, że już mi się takie rzeczy nie zdarzają...) FRST.txt Addition.txt Shortcut.txt Edytowane 9 grudnia 2022 przez shogun137
Twój_Anioł_Stróż komentarz 9 grudnia 2022 komentarz 9 grudnia 2022 .... >>@shogun137 1) Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym START:: RemoveDirectory: C:\Program Files (x86)\iXWQQqwTDtgU2 RemoveDirectory: C:\ProgramData\wwJyCwmJLxgTqEVB RemoveDirectory: C:\Program Files (x86)\gzeXoIAvHShgC RemoveDirectory: C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR RemoveDirectory: C:\Program Files (x86)\yDkMBERZU RemoveDirectory: C:\Program Files (x86)\wUwyBZVNhHUn RemoveDirectory: C:\Users\gptea\AppData\Roaming\ymIjKdxGo RemoveDirectory: C:\Users\gptea\AppData\Roaming\EBDDA124FD052BBA RemoveDirectory: C:\Users\gptea\AppData\Roaming\61wsKJBc RemoveDirectory: C:\Users\gptea\AppData\Roaming\2HNmVpo2xX Task: {46CC0B94-5B22-41D8-A4C9-8F879D58A53F} - System32\Tasks\AdLock Update Task-S-1-5-21-2377034626-2287066624-395784074-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\gptea\AppData\Local\Programs\asevcuk865\51339c2a5f.msi" /quiet CHROME=1 Task: {47D1A8B8-727D-4CD3-A9F4-442D7DFE359D} - System32\Tasks\htQvSjMAgGczBM => rundll32 "C:\Program Files (x86)\iXWQQqwTDtgU2\xJQlzlacsmVbb.dll",#1 <==== UWAGA Task: {630BA895-E6E4-41E4-BBFD-C9678E878660} - System32\Tasks\jzhNbtrnGehPe2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\wwJyCwmJLxgTqEVB\GOvNliN.wsf" <==== UWAGA Task: {6F3F90D0-E861-4240-BA1C-8DFF6D024C2D} - System32\Tasks\DzbJYbeuNukCUlMwIys2 => rundll32 "C:\Program Files (x86)\gzeXoIAvHShgC\PYRCSwT.dll",#1 <==== UWAGA Task: {B44A710F-A24F-4F94-961B-64A9AF74A45A} - System32\Tasks\aBHPiNbSRIqPZCFTX2 => rundll32 "C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR\XxWMpTM.dll",#1 <==== UWAGA Task: {BFF14E6B-D8BC-457A-A28B-314C102C0A83} - System32\Tasks\lkHOyLQLftaBImR2 => rundll32 "C:\Program Files (x86)\yDkMBERZU\Jllcmb.dll",#1 <==== UWAGA CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307","hxxp://www.istartsurf.com/?type=hp&ts=1445354089&z=8ec0edae17ce3471517aaf4gfz5z8wbc2w8c4b7z0z&from=face&uid=LITEONITXLAT-256M2S_TW0PVGPX5508514C1550","hxxps://find-it.pro/?utm_source=distr_m" HKU\S-1-5-21-2377034626-2287066624-395784074-1001\...\Run: [NoxMultiPlayer] => "D:\Program Files\Nox\bin\MultiPlayerManager.exe" -startSource:auto_start (Brak pliku) HKU\S-1-5-21-2377034626-2287066624-395784074-1001\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-2377034626-2287066624-395784074-1001\...\Policies\Explorer: [] HKU\S-1-5-21-2377034626-2287066624-395784074-1001\Software\Policies\...\system: [DisableCMD] 0 GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {40649136-1D2D-43A3-AADC-1B6A3B25C5DD} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Brak pliku) EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). 2) Zrób nowe logi FRST. . 1
shogun137 komentarz 13 grudnia 2022 komentarz 13 grudnia 2022 .... >>@Twój_Anioł_Stróż Bardzo dziękuję. Nowe logi w załączeniu. FRST.txt Addition.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 13 grudnia 2022 komentarz 13 grudnia 2022 ....>> @shogun137 Znasz te poniższe obiekty? - powstały dokładnie w chwili infekcji. Cytuj 2022-12-07 20:19 - 2022-12-07 20:19 - 000000000 ____D C:\Users\gptea\AppData\Roaming\NCH Software 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\ProgramData\FileOptimizer 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\ProgramData\DiskOptimizer 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\PFU File Analyzer 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Users\gptea\AppData\Local\Package Cache 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Program Files (x86)\DMinvo 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Program Files (x86)\BJ-Word Demo 2022-12-07 20:17 - 2022-12-07 20:17 - 000000000 ____D C:\Users\gptea\AppData\Roaming\Codessentials 2022-12-07 20:17 - 2022-12-07 20:17 - 000000000 ____D C:\Program Files (x86)\Codessentials .Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym START:: CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307","hxxp://www.istartsurf.com/?type=hp&ts=1445354089&z=8ec0edae17ce3471517aaf4gfz5z8wbc2w8c4b7z0z&from=face&uid=LITEONITXLAT-256M2S_TW0PVGPX5508514C1550","hxxps://find-it.pro/?utm_source=distr_m" HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA RemoveDirectory: C:\ProgramData\wwJyCwmJLxgTqEVB RemoveDirectory: C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR RemoveDirectory: C:\Program Files (x86)\yDkMBERZU RemoveDirectory: C:\Program Files (x86)\iXWQQqwTDtgU2 RemoveDirectory: C:\Program Files (x86)\gzeXoIAvHShgC RemoveDirectory: C:\Program Files (x86)\wUwyBZVNhHUn RemoveDirectory: C:\Users\gptea\AppData\Roaming\ymIjKdxGo RemoveDirectory: C:\Users\gptea\AppData\Roaming\EBDDA124FD052BBA RemoveDirectory: C:\Users\gptea\AppData\Roaming\61wsKJBc RemoveDirectory: C:\Users\gptea\AppData\Roaming\2HNmVpo2xX C:\ProgramData\qqwddq.txt EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Zrób n owy log FRST (już bez Addition.txt, i bez Shortcut.txt 1
shogun137 komentarz 14 grudnia 2022 komentarz 14 grudnia 2022 .... >>@Twój_Anioł_Stróż Dziękuję! Nowy log FRST w załączeniu. Żadnych z wymienionych obiektów nie znam. Sprawdziłem również historię z 7-ego grudnia około godz. 20:17. Wszystkie przeglądane strony są standardowymi, które zwykle odwiedzam, nic nietypowego. W załączeniu screen z historii, nic nie usuwałem. Jeśli masz jakąś koncepcję do co przyczyn infekcji (jak jej uniknąć w przyszłości) to będę wdzięczny za podzielenie się. FRST.txt
Twój_Anioł_Stróż komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 Cytuj Jeśli masz jakąś koncepcję do co przyczyn infekcji Nie pamiętam tych przyczyn. . Infekcja dalej jest. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym START:: RemoveDirectory: C:\ProgramData\wwJyCwmJLxgTqEVB RemoveDirectory: C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR RemoveDirectory: C:\Program Files (x86)\yDkMBERZU RemoveDirectory: C:\Program Files (x86)\iXWQQqwTDtgU2 RemoveDirectory: C:\Program Files (x86)\gzeXoIAvHShgC RemoveDirectory: C:\Users\gptea\AppData\Roaming\NCH Software RemoveDirectory: C:\Program Files (x86)\wUwyBZVNhHUn RemoveDirectory: C:\ProgramData\FileOptimizer RemoveDirectory: C:\ProgramData\DiskOptimizer RemoveDirectory: C:\Program Files (x86)\PFU File Analyzer RemoveDirectory: C:\Users\gptea\AppData\Roaming\ymIjKdxGo RemoveDirectory: C:\Users\gptea\AppData\Roaming\EBDDA124FD052BBA RemoveDirectory: C:\Users\gptea\AppData\Roaming\61wsKJBc RemoveDirectory: C:\Users\gptea\AppData\Roaming\2HNmVpo2xX RemoveDirectory: C:\Program Files (x86)\DMinvo RemoveDirectory: C:\Program Files (x86)\BJ-Word Demo RemoveDirectory: C:\Users\gptea\AppData\Roaming\Codessentials RemoveDirectory: C:\Program Files (x86)\Codessentials RemoveDirectory: C:\Users\gptea\AppData\Local\Package Cache CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1422632571&from=amt&uid=SAMSUNGXHD103SJ_S246J9EZ908307","hxxp://www.istartsurf.com/?type=hp&ts=1445354089&z=8ec0edae17ce3471517aaf4gfz5z8wbc2w8c4b7z0z&from=face&uid=LITEONITXLAT-256M2S_TW0PVGPX5508514C1550","hxxps://find-it.pro/?utm_source=distr_m" EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Przeskanuj komputer przy pomocy MBAM FREE Malwarebytes for Windows — zamiennik programu antywirusowego dla komputerów PC | Malwarebytes Zrób nowy log FRST. . 1
shogun137 komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 .... >>@Twój_Anioł_Stróż Dziękuję! Fix w FRST a następnie skan Malwarebytes zrobiłem. Nowy log + wynik skanu i kwarantanny w załączeniu. Chrome wydaje się czysty, nie widzę już find-it.pro ani zarządzania przeglądarką. Czy wszystko jest już ok? Mam pytanie, w jakiej formie (na jakich zasadach) się Pan tym zajmuje? Czy mógłbym przelać Panu jakąś kwotę w ramach wdzięczności za pomoc? FRST.txt Malwarebytes - wyniki skanu.txt Malwarebytes - wynik kwarantanny.txt
Twój_Anioł_Stróż komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 Cytuj Mam pytanie, w jakiej formie (na jakich zasadach) się Pan tym zajmuje? Czy mógłbym przelać Panu jakąś kwotę w ramach wdzięczności za pomoc? 1) Zajmuję się tym w ramach czynu społecznego. 2) Teoretycznie tak, ale w praktyce nie. Nie zajmuję się tym dla pieniędzy. Można tylko, ewentualnie, kliknąć na którąś z opcji widocznych w poście na dole po prawej stronie w postaci miniaturki. ================ Infekcja dalej jest, więc: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym START:: RemoveDirectory: C:\Program Files (x86)\wUwyBZVNhHUn RemoveDirectory: C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR RemoveDirectory: C:\Program Files (x86)\yDkMBERZU RemoveDirectory: C:\Program Files (x86)\iXWQQqwTDtgU2 RemoveDirectory: C:\Program Files (x86)\gzeXoIAvHShgC RemoveDirectory: C:\Users\gptea\AppData\Roaming\NCH Software RemoveDirectory: C:\Users\gptea\AppData\Roaming\EBDDA124FD052BBA RemoveDirectory: C:\Users\gptea\AppData\Roaming\61wsKJBc RemoveDirectory: C:\Users\gptea\AppData\Roaming\2HNmVpo2xX RemoveDirectory: C:\ProgramData\FileOptimizer RemoveDirectory: C:\ProgramData\DiskOptimizer RemoveDirectory: C:\Program Files (x86)\PFU File Analyzer RemoveDirectory: C:\Users\gptea\AppData\Roaming\ymIjKdxGo RemoveDirectory: C:\Users\gptea\AppData\Local\Package Cache RemoveDirectory: C:\Program Files (x86)\DMinvo RemoveDirectory: C:\Program Files (x86)\BJ-Word Demo RemoveDirectory: C:\Users\gptea\AppData\Roaming\Codessentials RemoveDirectory: C:\Program Files (x86)\Codessentials EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Pokaż raport z tego usuwania. Zrób nowy log z FRST. . 1
shogun137 komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 .... >>@Twój_Anioł_Stróż Dziękuję! Nowe logi w załączeniu. Fixlog.txt FRST.txt
Twój_Anioł_Stróż komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 Cytuj "Directory" => nie znaleziono Coś dziwnego się dzieje: niby "nie znaleziono", ale w nowym logu to dalej jest widoczne. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym START:: 2022-12-07 20:19 - 2022-12-15 13:04 - 000000000 ____D C:\Program Files (x86)\wUwyBZVNhHUn 2022-12-07 20:19 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\yzGfAlLzsSrcGMSnnIR 2022-12-07 20:19 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\yDkMBERZU 2022-12-07 20:19 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\iXWQQqwTDtgU2 2022-12-07 20:19 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\gzeXoIAvHShgC 2022-12-07 20:19 - 2022-12-07 20:19 - 000000000 ____D C:\Users\gptea\AppData\Roaming\NCH Software 2022-12-07 20:18 - 2022-12-15 13:04 - 000000000 ____D C:\Users\gptea\AppData\Roaming\EBDDA124FD052BBA 2022-12-07 20:18 - 2022-12-15 13:04 - 000000000 ____D C:\Users\gptea\AppData\Roaming\61wsKJBc 2022-12-07 20:18 - 2022-12-15 13:04 - 000000000 ____D C:\Users\gptea\AppData\Roaming\2HNmVpo2xX 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\ProgramData\FileOptimizer 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\ProgramData\DiskOptimizer 2022-12-07 20:18 - 2022-12-07 20:21 - 000000000 ____D C:\Program Files (x86)\PFU File Analyzer 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Users\gptea\AppData\Roaming\ymIjKdxGo 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Users\gptea\AppData\Local\Package Cache 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Program Files (x86)\DMinvo 2022-12-07 20:18 - 2022-12-07 20:18 - 000000000 ____D C:\Program Files (x86)\BJ-Word Demo 2022-12-07 20:17 - 2022-12-07 20:17 - 000000000 ____D C:\Users\gptea\AppData\Roaming\Codessentials 2022-12-07 20:17 - 2022-12-07 20:17 - 000000000 ____D C:\Program Files (x86)\Codessentials EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Podaj raport z tego. Zrób nowy log FRST. . 1
shogun137 komentarz 15 grudnia 2022 komentarz 15 grudnia 2022 .... >>@Twój_Anioł_Stróż Dziękuję! Nowe logi w załączeniu. Fixlog.txt FRST.txt
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.