Duża ilość ostrzeżeń antywirusowych - prośba o sprawdzenie log'ów


(ave20) #1

Witam

Od kilku dni otrzymuję bardzo dużą ilość ostrzeżeń antywirusowych a w Chrome ciągle pojawiają mi się wyskakujące okienka - pomimo posiadania uBlock’a.
Używam CCleaner’a i ComboFix’a, ale nic to nie pomogło. Proszę o sprawdzenie logów:
.
.
.

Win7 64bit, i7.

Będę wdzięczny za pomoc.
Pozdrawiam


(Acorus) #2

Odinstaluj Java 8 Update 91,Java SE Development Kit 8 Update 91 (64-bit),Tencent QQ.Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {3BA79187-D618-4765-8042-06D5A49DB4C4} - System32\Tasks{66483A68-59BE-4B5C-B900-5FF473D540E2} => Chrome.exe hxxp://ui.skype.com/ui/0/7.28.64.101/pl/abandoninstall?page=tsProgressBar
Task: {6ECDC9C2-16C5-4475-A5A0-D203FE82036B} - \Adobe Flash Player Updater -> Brak pliku <==== UWAGA
Task: {8430DF5B-193D-4B82-9DB8-5CD131975CBD} - System32\Tasks{4FF75C15-B342-459B-9DB4-C562CAE5E9F5} => Chrome.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar
FirewallRules: [{FE6FB79F-453A-4CFB-81C5-15C04243D7B1}] => c:\users\ave\appdata\roaming\tencent\天堂2\37209200a7ed86b98a860f5af13fb10d\teniodl\teniodl.exe
FirewallRules: [{EA64A84B-FD28-4C43-BC43-6B96F2DE0E0B}] => c:\users\ave\appdata\roaming\tencent\天堂2\37209200a7ed86b98a860f5af13fb10d\teniodl\teniodl.exe
FirewallRules: [{5C0DD520-E8A8-4BC2-92C5-37373105FDFE}] => c:\users\ave\appdata\roaming\tencent\天堂Ⅱ\071ccb9febd632649ff056edf9754e34\teniodl\teniodl.exe
FirewallRules: [{D26DFC2F-55DD-41D0-8686-D480839697B3}] => c:\users\ave\appdata\roaming\tencent\天堂Ⅱ\071ccb9febd632649ff056edf9754e34\teniodl\teniodl.exe
FirewallRules: [{91D0062B-29D2-42FA-A885-987F5E96500B}] => C:\program files (x86)\common files\tencent\qqdownload\127\tencentdl.exe
FirewallRules: [{13E6C1D4-BB4F-4FE1-851E-134DCFCFBE2A}] => c:\users\ave\appdata\roaming\tencent\天堂Ⅱ\f7f05a8dfcf6887f53a1fb548b945515\teniodl\teniodl.exe
FirewallRules: [{5D579471-28D4-4E23-8B0B-A23536691833}] => c:\users\ave\appdata\roaming\tencent\天堂Ⅱ\f7f05a8dfcf6887f53a1fb548b945515\teniodl\teniodl.exe
FirewallRules: [{6FE3D965-BD68-4D8F-81F6-8B7216D0F350}] => C:\Program Files (x86)\QQ\Bin\QQ.exe
FirewallRules: [{A85228AE-0FDC-4E01-9B7D-2DA1D1AB95D3}] => C:\Program Files (x86)\QQ\Bin\QQ.exe
FirewallRules: [{10442E47-E5BE-41C3-A735-5467C91D83F5}] => C:\Program Files (x86)\QQ\Bin\auclt.exe
FirewallRules: [{26782103-CA34-4371-9CF1-1DA143C2256C}] => C:\Program Files (x86)\QQ\Bin\auclt.exe
FirewallRules: [{FF653706-00B8-4656-A0FF-5E19B3489385}] => C:\Program Files (x86)\QQ\Bin\txupd.exe
FirewallRules: [{C373C862-1B9F-4528-94D9-574112BF190A}] => C:\Program Files (x86)\QQ\Bin\txupd.exe
HKLM…\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508128 2016-07-01] (Adobe Systems Incorporated)
HKLM-x32…\Run: [] => [X]
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1488555047-913671359-2035468705-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=dspp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=dspp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1488555047-913671359-2035468705-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=dspp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1425673545&from=cor&uid=SAMSUNGXHD103SJ_S246JDWS919378&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin-x32: @qq.com/npqscall -> C:\Program Files (x86)\Common Files\Tencent\NPQSCALL\npqscall.dll [2016-12-16] (Tencent)
FF Plugin-x32: @qq.com/TXSSO -> C:\Program Files (x86)\Common Files\Tencent\TXSSO\1.2.1.94\Bin\npSSOAxCtrlForPTLogin.dll [2013-01-25] (Tencent)
CHR HomePage: Default -> file:///C:/Users/Ave/Desktop/incomeup-12/incomeup%20-%20placehold%20-%20Kopia/index.html
CHR DefaultSearchURL: Default -> hxxp://littlesnippets.net/category/snippets/page/3/
CHR HKLM-x32…\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32…\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
R1 {7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64; C:\Windows\System32\drivers{7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64.sys [48784 2015-03-06] (StdLib)
R1 {a55667f1-a319-4629-a8b6-a68d9d3313ee}Gw64; C:\Windows\System32\drivers{a55667f1-a319-4629-a8b6-a68d9d3313ee}Gw64.sys [48784 2015-03-06] (StdLib)
S3 catchme; ??\C:\ComboFix\catchme.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan(Skanuj) i później Cleaning(Oczyść).


(ave20) #3

Trzeba było mnie uprzedzić, że zostanie wyczyszczona DOSZCZĘTNIE historia przeglądarki!!!
Zostały zamknięte WSZYSTKIE OTWARTE KARTY! Nie mam ich w historii T_T Miałem otwarte bardzo ważne karty z adresami stron! Niektóre były przypięte!
JAK JE ODZYSKAĆ?! Jak przywrócić utraconą sesję?!


(ave20) #4

To mnie teraz załatwiłeś. Przywracanie systemy przywróci ustawienia google Chrome?!


(Zizi) #5

Trochę kultury.Mógłbyś nie przeklinać na forum.


(ave20) #6

Może i mógłbym, ale kilka dni pracy właśnie szlag trafił! Nie dziw się więc mojej reakcji!
Szukałem pomocy, a facet wpakował mnie w jeszcze większe bagno. Mógł uprzedzić,
że przeglądarka zostanie wyczyszczona i powinienem zapisać ważne karty!

JAK MAM TERAZ PRZYWRÓCIĆ KARTY?! Nie mogę, prawda?

Jakbym chciał wyczyścić przeglądarkę, to bym sam to zrobił. Co mam teraz zrobić?!


(Atis) #7

Niezły żart. Kilka dni pracy zapisanych w historii przeglądarki?
Masz punkt przywracania utworzony wczoraj, więc użyj ShadowExplorer i spróbuj odzyskać historię z profilu Chrome:
http://www.shadowexplorer.com/documentation/manual.html
%LocalAppData%\Google\Chrome\User Data\default\History


(ave20) #8

Żart? kilka DNI re-search’u, spora ilość linków z ważnymi informacjami, kilka przypiętych kart - w sumie około 14-16 kart, które szlag trafił. Żartem było zrobienie czyszczenia bez podania informacji, że wszystkie karty szlag trafi - to był żart.

ShadowExplorer nie czyta żadnego z punktów przywracania - to też żart?


(Atis) #9

Czy nie masz włączonej synchronizacji danych?
Synchronizacja powinna przywrócić historię.
https://support.google.com/chrome/answer/2591582?co=GENIE.Platform%3DAndroid&hl=pl


(ave20) #10

Ale co mi teraz da synchronizacja, skoro nie była ona włączona? Potrzebuję ODZYSKAĆ historię, a nie użyć synchronizacji po fakcie :confused:


(ave20) #11

ChromeHistoryView v1.25 też czyta jedynie historię z dnia dzisiejszego - PO CZYSZCZENIU T_T


(Atis) #13

Kilka dni pracy zapisane w historii przeglądarki.
Wyłączona synchronizacja danych.
Zainfekowana przeglądarka Chrome.
Winni są wszyscy tylko nie @ave20.

Komenda EmptyTemp zawsze kasuje historię przeglądarek, a na forum nie ma wróżki, więc nikt nie wiedział, że masz ważne dane w historii Chrome.
Pozostaje spróbować programów do odzyskiwania danych, ale na partycji systemowej dane mogły zostać nadpisane.
Nie zapisuj żadnych plików na partycji z której chcesz odzyskać dane.
Recuva - Portable i zaznacz Głębokie skanowanie (Deep Scan):
http://www.piriform.com/recuva/builds
Puran File Recovery Portable:
http://www.puransoftware.com/File-Recovery-Download.html


(ave20) #14

Wróżka nie było potrzebna. Wystarczyła zwykła wiadomość, że zostanie usunięta historia przeglądarki.
Nie było takiej informacji. Sam wróżką nie jestem, by wiedzieć to zostanie oczyszczone.
Z synchronizacji NIGDY nie musiałem korzystać i 90% użytkowników nie korzysta - nie powinno być
to żadnym zaskoczeniem.
Winny nie jestem i nie próbuj robić ze mnie winnego, bo takie informacje jak czyszczenie historii POWINNY
być dołączone do posta, w którym zostanie przeprowadzone czyszczenie, nie uważasz? :}

Co do Recuva - Portable - znam ten program i o ile mi wiadomo, w przypadku napisania choćby fragmentu sektora dysku, na którym znajdował się plik, niemożliwym jest jego odzyskanie, tylko fragmentaryczne dane, więc wnioskuję, że mam gówniane szanse na odzyskanie czegokolwiek z pliku historii przeglądarki.

Tak się kończą porady na forum, na którym dzieciaki bawią się bez żadnej kontroli. Mam nauczkę :]


(FadeMind) #15

Ludzie dzielą się na tych co robią kopie zapasowe i tych, którzy będą robić kopie zapasowe.


(rgabrysiak) #16

Udzielający ci pomocy wróżkami też nie są i nie wiedzą jakie dane chcesz zachować. Idąc twoim tokiem rozumowania, cały skrypt powinien być dokładnie opisany aby użytkownik wiedział, krok po kroku, jakie czynności są wykonywane w systemie.


(ave20) #17

Nie cały skrypt, kto mówił o całym skrypcie - to TWÓJ TOK rozumowania, nie mój. Ale jeśli główną rzeczą, która miała zostać wyczyszczona była historia i reset przeglądarki, to ki grzyb bronił podać tę informację przed załączeniem fixlist’y?

To tak wiele zachodu? Tak dużo klikania by napisać informację zwrotną PRZED załączeniem fixlist’y? No fakt, lepiej olać w ogóle wszelkie informacje i przykleić w sekcji Bezpieczeństwo ogólną fixlistę - po co się spuszczać (idąc Twoim tokiem rozumowania).

A kopię zapasową - jeśli nie robi się jej regularnie, system usuwa po pewnym czasie - nie będę przywracał kompa, do stanu z 2015 roku, prawda? :]

No nic…jedyne co pozostaje mi po tym syfie, to próbować odzyskać historię z %LocalAppData%\Google\Chrome\User Data\default\ i odzyskać plik History.


(ave20) #18

Użyłem Recuva - Portable z głębokim skanowaniem i jako miejsce docelowe wskazałem %LocalAppData%\Google\Chrome\User Data\default\History

Jest cała masa plików z tej lokacji, ale na liście NIE MA pliku History - co zrobić…? Gdzie szukać historii przeglądarki? Jakiego pliku szukać? Pliku History nie ma na liście…


(Radek68) #19

Jakoś tego nie zauważyłem, widzę za to inwektywy, przekleństwa, wulgarne odzywki i roszczeniową postawę (posty z wulgarną treścią zostały usunięte). Daję kilka dni “wolnego” na jej przemyślenie.


(Atis) #20

Czy uruchomiłeś ShadowExplorer jako admonistrator?
Z raportu Addition wynikało, że powinien być jeden punkt przywracania.
Gdy kliniesz prawym na pliku History, to czy jest tam dostępna opcja Przywróć poprzednie wersje?