Problem z usunięciem ~FontCache-FontFace.dat oraz wirus tzw."rekalmiarz"

[Maniek07]

Witam. Jestem tutaj nowy,dlatego przepraszam jeśli coś źle napisze(po mimo waszych instrukcji).

Zacznę może od wirusa którego złapałem najprawdopodobniej (bo w 100% nie jestem pewien) po przez ściągnięcie faktury w pdf. z play.Mowa oczywiście o reklamach które włączają się przy każdym wejściu na stronę.Mam win7 no i MSE którym skanowałem i nic mi nie wykryło.Sprawdzałem też RevoUninstaller i to samo.Dodatkowo mam kolejny problem z plikami ~FontCache-FontFace.dat , ~FontCache-S-1-5-21-2512552286-1395718817-1032304636-1000.dat oraz ~FontCache-System.dat - nie mogę ich usunąć i dodatkowo gdzieś wyczytałem że mogą to być wirusy. Od razu doda że nie znam się za bardzo na systemach, jeszcze w xp jakoś więcej umiałem a w 7 nie miałem kiedy się z nią zapoznać, więc proszę jeśli jest to możliwe o dokładną instrukcję.Mam też jeszcze jedno pytanie nie wiem czy jest ono powiązane i czy pasuje do tego działu, ale wydaje mi się że z javą mam też problemy bo strony niekiedy mi się nie chcą otwierać albo zamiast ikon mam kwadraciki i same litery.Korzystam z Google Chrome,wcześniej z Mozilii. Z góry dziękuje za pomoc i pozdrawiam.

Addition.txt

FRST.txt

OTL.Txt

Gamer.txt

[picasso]

Posty scalone do formy oczekiwanej na starcie.

 

 

Dodatkowo mam kolejny problem z plikami ~FontCache-FontFace.dat , ~FontCache-S-1-5-21-2512552286-1395718817-1032304636-1000.dat oraz ~FontCache-System.dat - nie mogę ich usunąć i dodatkowo gdzieś wyczytałem że mogą to być wirusy.

Wszystkie pliki typu "FontCache" w folderze C:\Windows\ServiceProfiles\LocalService\AppData\Local to poprawne pliki trzymające cache czcionek WPF systemu Windows. Pliki są zablokowane m.in. przez aktywność usługi systemowej Windows Presentation Foundation. Proszę nie ruszać tych plików. Te pliki kasuje się tylko i wyłącznie wtedy, gdy jest zdiagnozowany problem z tym cache.

 

 

Zacznę może od wirusa którego złapałem najprawdopodobniej (bo w 100% nie jestem pewien) po przez ściągnięcie faktury w pdf. z play.Mowa oczywiście o reklamach które włączają się przy każdym wejściu na stronę.

W systemie jest zainstalowane adware. Pod tym kątem przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=1373018424
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=1373018424
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=1373018424
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=1373018424
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=1373018424
URLSearchHook: HKCU - (No Name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No File
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010712_8&babsrc=SP_ss&mntrId=a2687bd0000000000000001e6452db5b
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.portaldosites.com/web/?utm_source=b&utm_medium=smt&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WX91A20M1923M1923&ts=0
SearchScopes: HKCU - {3D75CFDA-90BE-47D6-81C6-D175F1FDD23D} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=73F571C0-51BB-447E-B8C7-895D47EB2E67&apn_sauid=1C833577-204D-4081-A4EB-0F543669CFD2
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6Oz0gQt0U0&i=26
BHO: FCB Fan Alert - {1fab2614-43cf-4092-926b-870379248f92} - C:\Program Files (x86)\FCB Fan Alert\FCB Fan Alert64.dll (FCB Live App)
BHO-x32: FCB Fan Alert - {1fab2614-43cf-4092-926b-870379248f92} - C:\Program Files (x86)\FCB Fan Alert\FCB Fan Alert.dll (FCB Live App)
Toolbar: HKCU - No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-10-27]
CHR HKLM-x32\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\User\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx [2012-07-08]
CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2012-07-08]
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - \User Data\Default\Extensions\newtab.crx [2013-08-22]
CHR HKLM-x32\...\Chrome\Extension: [jhjjdgbhohaallcimgcmakfiobacimkm] - C:\Program Files (x86)\BuzzSearch\jhjjdgbhohaallcimgcmakfiobacimkm.crx [2013-08-22]
CHR HKLM-x32\...\Chrome\Extension: [lpmkgpnbiojfaoklbkpfneikocaobfai] - C:\Users\User\AppData\Roaming\Media Finder\Extensions\mf_plugin_gc.crx [2011-09-21]
R2 Update BuzzSearch; C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.exe [80672 2014-02-13] ()
R2 Util BuzzSearch; C:\Program Files (x86)\BuzzSearch\bin\utilBuzzSearch.exe [80672 2014-02-13] ()
R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [424104 2013-08-22] (Taiwan Shui Mu Chih Ching Technology Limited.)
S2 PCSpeedUpService; "C:\Program Files\Przyspiesz Komputer\PCSpeedUpService.exe" [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
HKU\S-1-5-21-2512552286-1395718817-1032304636-1000\...\Run: [] - C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
Task: {11898504-516A-476A-BFCB-9CB97BEB81DA} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe
Task: {71410D7D-D6AD-431A-9ABE-44A58C9F889B} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2512552286-1395718817-1032304636-1000UA => C:\Users\User\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {86AAF6CC-5B2A-4132-B6DA-4AD773680235} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2512552286-1395718817-1032304636-1000Core => C:\Users\User\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {E9B7C9B1-2B52-437B-A03F-FDAFBA50F5BE} - System32\Tasks\DealPly => C:\Users\User\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-03-19] ()
Task: {FA6945A4-B132-4218-BB9A-E65F47DD653B} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2512552286-1395718817-1032304636-1000Core.job => C:\Users\User\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2512552286-1395718817-1032304636-1000UA.job => C:\Users\User\AppData\Local\Facebook\Update\FacebookUpdate.exe
C:\ProgramData\dsgsdgdsgdsgw.reg
C:\Users\User\AppData\Roaming\337
C:\Users\User\AppData\Roaming\DealPly
C:\Users\User\AppData\Roaming\Desk 365
C:\Users\User\AppData\Roaming\eIntaller
C:\Users\User\AppData\Roaming\eUpdate
C:\Users\User\AppData\Roaming\Media Finder
C:\Users\User\AppData\Roaming\Mozilla
C:\Users\User\AppData\Roaming\Omiga Plus
C:\Users\User\AppData\Roaming\OpenCandy
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware BuzzSearch 2013.11.07.232809, FCB Fan Alert, WinZipper.

 

3. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj General Crawler i inne rzeczy nieznane (o ile coś tam będzie widać)
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Maniek07]

Oto pliki i mam kilka pytań? Czy Revo Uninstaler jest dobrym programem? Szwagier mi go polecił(zna się lepiej ode mnie na komp.) ale jak zauważyłem podczas odinstalowania z panelu sterowania części programów nie było w Revo.

FRST.txt

Fixlog.txt

AdwCleanerS0.txt

AdwCleanerR0.txt

[picasso]

Zadania pomyślnie wykonane. Kończymy czyszczenie:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku:

 

C:\FRST

C:\Users\User\Downloads\FRST-OlderVersion

C:\Users\User\Downloads\FRST64.exe

C:\Users\User\Downloads\61ddvb3m.exe

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. W ramach aktualizacji:

 

==================== Installed Programs ======================
 

Adobe Flash Player ActiveX (x32 Version: 9.0.124.0 - Adobe Systems Incorporated)

Gadu-Gadu 10 (x32 Version: - GG Network S.A.)

Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle)

Skype™ 5.10 (x32 Version: 5.10.116 - Skype Technologies S.A.)

 

Stare Adobe i Java do deinstalacji. Komunikatory do aktualizacji, poczytaj też to: KLIK.

 

 

Czy Revo Uninstaler jest dobrym programem? Szwagier mi go polecił(zna się lepiej ode mnie na komp.) ale jak zauważyłem podczas odinstalowania z panelu sterowania części programów nie było w Revo.

Program jest OK, ale są pewne sytuacje, gdy nie należy go używać, np.:

- Deinstalacje antywirusów powinny być wykonane "po Bożemu", a w razie trudności należy skorzystać z dedykowanych narzędzi producenta: KLIK.

- Naruszone programy oparte na Instalatorze Windows traktuje się z kolei tym narzędziem: KLIK.

 

Revo nie widzi części programów, bo masz zainstalowaną darmową 32-bitową wersję, która jest limitowana:

 

==================== Installed Programs ======================
 

Revo Uninstaller 1.95 (x32 Version: 1.95 - VS Revo Group)

 

Masz 64-bitowy system, a to oznacza, że występują dwa rodzaje programów u Ciebie: natywnie 64-bitowe oraz 32-bitowe. Darmowa wersja Revo nie obsługuje deinstalacji natywnie 64-bitowych, potrzebna jest płatna wersja Pro. Porównanie moliwości wersji: KLIK.

 

 

 

 

.

[Maniek07]

Dziękuje Bardzo za pomoc na pewno wspomogę wasz serwis bo jak najbardziej jest najbardziej profesjonalny z jakim się spotkałem.Pozdrawiam

[picasso]

Dziękuję. Temat rozwiązany. Zamykam.