arch20 Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Jak w temacie, po odpaleniu Opery, uruchamia się Portal NationZoom. Próbowałem na różne sposoby i brak pomysłów co dalej:). Dorzucam log z ComboFix. Za pomoc z góry dziękuje. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Na temat używania ComboFix: KLIK. Zasady działu jakie logi są tu obowiązkowe: KLIK. Odnośnik do komentarza
arch20 Opublikowano 8 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2014 Dziękuje, za objaśnienie błędu. Skany z OTL i FRST: Addition.txt Extras.Txt FRST2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Kilka uwag na początek: - ComboFix usunął brutalnie folder adware SaveSense. Niestety to nie jest kompletna metoda usuwania adware i skutkiem są inne zdefektowane wpisy. - Używałeś SpyHunter. Jest to skaner wątpliwej reputacji, który stosuje taktykę przymusu. Zwabia użytkownika obietnicą usunięcia określonej infekcji, a przy skanie wychodzi na jaw, że trzeba płacić za usuwanie wyników. - W systemie są także szczątki starej infekcji "policyjnej". Będę także usuwać szczątki Firefox, gdyż nie wygląda na zainstalowany (brak wejścia na liście). - Dodatkowo, notuję tu tak jakby problemy z kontami, ale to będę analizować potem. W logu widać, że w C:\Users powstał folder z wadliwą czcionką (tak jakby kopia właściwego C:\Users\Miły) oraz TEMP.destiny (folder tymczasowy): 2014-02-06 22:57 - 2014-01-19 20:48 - 00000000 ____D () C:\Users\Mi�y 2014-02-06 22:53 - 2014-02-06 22:53 - 00000020 ___SH () C:\Users\TEMP.destiny\ntuser.ini 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Ustawienia lokalne 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Szablony 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Moje dokumenty 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Menu Start 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Documents\Moje wideo 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Documents\Moje obrazy 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Documents\Moja muzyka 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\Dane aplikacji 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\AppData\Roaming\Microsoft\Windows\Start Menu\Programy 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\AppData\Local\Historia 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 _SHDL () C:\Users\TEMP.destiny\AppData\Local\Dane aplikacji 2014-02-06 22:53 - 2014-02-06 22:53 - 00000000 ____D () C:\Users\TEMP.destiny Przeprowadź następujące działania: 1. FRST jest uruchomiony ze złej lokalizacji, czyli tymczasowych plików Opery: Running from C:\Users\Miły\AppData\Local\Opera\Opera\temporary_downloads Pobierz FRST ponownie i zapisz na Pulpicie. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1593099923-3472938015-3572154625-1001\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Miły\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1390012754&from=mp3&uid=HitachiXHTS545050B9A300_100924PBN403B70DNSULX&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} URLSearchHook: HKCU - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=3 - C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=9 - C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll No File Task: {2F1AC64A-6F08-4BA0-A476-E94EDCC3EB0F} - System32\Tasks\RunAsStdUser Task => C:\Users\Miły\AppData\Local\Oxy\Application\oxy.exe Task: {4D2F2FC3-F326-4C89-B60D-38BABAF1772D} - \Desk 365 RunAsStdUser No Task File Task: {8C55D2A2-1C04-4468-B360-ECC5821F63FF} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {BC655CCD-967B-49E3-AD79-424A57EC4CA2} - System32\Tasks\SaveSense => C:\Users\MIY~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 EagleX64; \??\C:\windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 yukonw7; system32\DRIVERS\yk62x64.sys [X] C:\ProgramData\7t3dfifr.bxx C:\ProgramData\7t3dfifr.fvv C:\ProgramData\lsass.exe C:\Users\Miły\daemonprocess.txt C:\Users\Miły\AppData\Local\cache C:\Users\Miły\AppData\Local\CRE C:\Users\Miły\AppData\Local\genienext C:\Users\Miły\AppData\Local\Google C:\Users\Miły\AppData\Local\Mobogenie C:\Users\Miły\AppData\Local\Mozilla\Firefox C:\Users\Miły\AppData\Local\Oxy C:\Users\Miły\AppData\Local\SaveSenseLive C:\Users\Miły\AppData\Roaming\iSafe C:\Users\Miły\AppData\Roaming\Lavasoft C:\Users\Miły\AppData\Roaming\Mozilla\Firefox C:\Users\Miły\AppData\Roaming\newnext.me C:\Users\Miły\AppData\Roaming\Oxy C:\Users\Miły\AppData\Roaming\SaveSense C:\Users\Miły\Documents\Mobogenie C:\Program Files\Enigma Software Group C:\Program Files\SkanerOnline C:\windows\system32\log C:\windows\system32\Drivers\kgpcpy.cfg C:\windows\SysWOW64\Drivers\kgpfr2.cfg C:\windows\system32\config\software.szfi C:\windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Folder: C:\Users\Miły\AppData\Local\Start Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST na Pulpicie. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware SaveSense) i przejdź Dalej, 4. Uruchom Shortcut Cleaner. Na Pulpicie powstanie log sc-cleaner.txt. 5. Zrób nowy skan FRST (bez Addition). Dołącz pliki: fixlog.txt, sc-cleaner.txt oraz logi z AdwCleaner, który był używany już (logi są w folderze C:\AdwCleaner). Odnośnik do komentarza
arch20 Opublikowano 9 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Dziękuje za objaśnienia i szybką pomoc. Teraz mam pytanie, czy to narzędzie Microsoftu jest potrzebne?. Pytam, gdyż przy uruchomieniu wyskakuje błąd 8007001F. I teraz nie wiem czy moge przechodzić do następnego punktu. Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2014 Zgłoś Udostępnij Opublikowano 9 Lutego 2014 Są wprawdzie inne metody usunięcia tego, ale na razie opuść ten wątek i wykonaj resztę zadań. Na koniec pobierz najnowszy FRST, zrób nowe logi, ale dwa (zaznacz pole Addition). Odnośnik do komentarza
arch20 Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Ok, o to nowe logi. Addition.txt FRST.txt sc-cleaner.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2014 Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Zadania w większości wykonane. Nadal wisi sprawa z ukrytym nieusuniętym wpisem Google Update Helper od adware SaveSense. Program zresztą jest uszkodzony ComboFixem (mówiłam o tym). Pod kątem poprawnej deinstalacji tego wpisu: 1. Wyciągnięcie z kwarantanny ComboFix folderu adware. Otwórz Notatnik i wklej w nim: DeQuarantine:: C:\Qoobox\Quarantine\c\program files (x86)\SaveSenseLive Quit:: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. Przedstaw wynikowy plik DeQuarantine_log.txt. 2. Odkrycie wpisu. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: Google Update Helper (x32 Version: 1.3.23.0 - SaveSense) Hidden <==== ATTENTION Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. 3. Po obu tych operacjach wejdź do Panelu sterowania. Spróbuj odinstalować pozycję Google Update Helper. Zrób też nowe logi FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Odnośnik do komentarza
arch20 Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Dziękuje, jesteś wspaniała . Wszystko zrobiłem i daje logi. Twoja pomoc była jak najbardziej świetna, aczkolwiek mam przeczucie, że i tak złapałem znowu jakieś gówno. DeQuarantine.txt Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2014 Zgłoś Udostępnij Opublikowano 14 Lutego 2014 Ja nadal widzę ten fałszywy "Google Update Helper" na liście zainstalowanych. Odkryłam go, czy jest jakiś problem z wdrożeniem deinstalacji, pokazuje się może błąd? ==================== Installed Programs ====================== Google Update Helper (x32 Version: 1.3.23.0 - SaveSense) Hidden <==== ATTENTION Cytat aczkolwiek mam przeczucie, że i tak złapałem znowu jakieś gówno Umotywuj dlaczego tak sądzisz, co się obecnie w systemie dzieje? Owszem, widzę tu nowe "chińskie" obiekty związane z instalacją TencentQQ: KLIK. Zajmę się tym po otrzymaniu odpowiedzi na pierwsze pytanie relatywne do "Google Update Helper". Odnośnik do komentarza
arch20 Opublikowano 15 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Co do google, to deinstaluje się prawidłowo. Rzecz leży w tym, że pojawia się po chwili, jako zainstalowany. I dokładnie to co zauwarzyłaś, po instalacji pojawiła się stronka startowa w explorer z chinskimi znaczkami. Oprócz tego ostatnio miałem spore problemy z jakim kolwiek ściąganiem. Albo strona się nie ładuje z której moge pobrać, albo w ogóle nie wyskakuje okienko do pobrania. Nie wiem też czy to może mieć znaczenie, ale w między czasie działałem z rootowanie i rom na androida, gdzie sciągałem z forum róznego typu pliki, które do tego służą. Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2014 Zgłoś Udostępnij Opublikowano 22 Lutego 2014 1. W kwestii fałszywki Google. Sprawdź ponownie uprzednio podane narzędzie Microsoftu. Pobierz je ponownie i uruchom. Podaj czy zgłasza się dokładnie ten sam błąd 8007001F. 2. W kwestii "chińszczyzny". Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao.dashi.com BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ - {50F4150A-48B2-417A-BE4C-C83F580FB904} - C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll (腾讯公司) C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Tencent C:\Program Files (x86)\ZhuoDaShi C:\Users\Miły\AppData\Roaming\Tencent C:\Users\Miły\AppData\Local\Start Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST, zaznacz pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. Odnośnik do komentarza
arch20 Opublikowano 3 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2014 To teraz jest tak, że ten program Microsoftfix się uruchamia ale nie wykrywa updatergoogle tak samo jak i w dodaj i usuń programy go nie ma. A to się stało dopiero dzisiaj jak przesłałaś mi zmiany które wykonałem i przerestartowałem komputer. I teraz prześle ci logi z przed i po restarcie kompa, z czego te pierwsze będą przed. Addition.txt FRST.txt Addition.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się