kokos Opublikowano 9 Marca 2014 Zgłoś Udostępnij Opublikowano 9 Marca 2014 Proszę o pomoc w usunieciu awesomehp. Przy uruchomieniu Firefoxa przekierowuje mnie na stronę: hxxp://www.awesomehp.com/?type=sc&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK AVG atywirus nie pomógł - raport w załączniku) W załacznikach logi. FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt AVG Detekcje Ochrony rezydentnej.txt GMER.txt Odnośnik do komentarza
muzyk75 Opublikowano 9 Marca 2014 Zgłoś Udostępnij Opublikowano 9 Marca 2014 Usuwanie adware: Panel sterowania--> Dodaj / usuń programy - odinstaluj: IePluginService12.27.0.3326, LiveVDO plugin 1.3 i starą wersję Java 6 Update 23 Otwórz notatnik i wklej: Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Documents and Settings\admin\Dane aplikacji\13038\a12358.exe <==== ATTENTION HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK&q={searchTerms} SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=EAF864AB-1247-49DE-BE9F-C6D68D196AA1&apn_sauid=248275AC-BB0B-422B-AD5F-5D1DEA3A8EA5 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK&q={searchTerms} BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) BHO: Surftastic - {c6673938-a52b-4dc6-af05-783e7e2c8b65} - C:\Program Files\Surftastic\Surftasticbho.dll (Surftastic) Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.awesomehp.com/?type=sc&ts=1394368732&from=amt&uid=ST3808110AS_5LR4DKQKXXXX5LR4DKQK FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird R2 Update Surftastic; C:\Program Files\Surftastic\updateSurftastic.exe [111904 2014-03-07] () R2 Util Surftastic; C:\Program Files\Surftastic\bin\utilSurftastic.exe [111904 2014-03-09] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] C:\Program Files\Enigma Software Group C:\Program Files\Mobogenie C:\Program Files\SupTab C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\admin\Dane aplikacji\SupTab C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Program Files\Surftastic C:\Documents and Settings\admin\Dane aplikacji\13038 CMD: netsh winsock reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Firefox-->Dodatki-->Wtyczki - odinstaluj: LiveVDO Pobierz AdwCleaner. Po uruchomieniu kliknij "szukaj", po zakończeniu skanu "usuń". Reset komputera. Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. Załącz powstały Fixlog i nowe logi z FRST i Addition. Odnośnik do komentarza
kokos Opublikowano 9 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 9 Marca 2014 Nie znalazłem we wtyczkach jak ponizej Firefox-->Dodatki-->Wtyczki - odinstaluj: LiveVDO Odnośnik do komentarza
muzyk75 Opublikowano 9 Marca 2014 Zgłoś Udostępnij Opublikowano 9 Marca 2014 Działaj dalej. ADW już to usunął. Odnośnik do komentarza
kokos Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Wykonałem powyższe czynności. Logi w załacznikach. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2014 Zgłoś Udostępnij Opublikowano 10 Marca 2014 Proszę podać log z usuwania AdwCleaner (jest w folderze C:\AdwCleaner), bo nie wiadomo co narzędzie usuwało. Odnośnik do komentarza
kokos Opublikowano 10 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2014 Logi w załacznikach. Strasznie charczy głośnik - przy uruchomieniu Windowsa i poźniej przy odtwarzaniu np. radia. W wyniku wykonanych zaleceń zauważyłem, że komputer bardzo długo się uruchamia, głos z głośników lub słuchawek jest charczący. Czy nie usunąłem za dużo komponentów? Czy mogę liczyć na dalszą pomoc? Awesomehp został chyba usunięty. Wcześniejsze objawy z nim związane zniknęły. AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 W wyniku wykonanych zaleceń zauważyłem, że komputer bardzo długo się uruchamia, głos z głośników lub słuchawek jest charczący. Czy nie usunąłem za dużo komponentów? Były próby uruchamiania GMER. GMER mógł spowodować przypadkowe obniżenie transferu dysku z DMA do PIO. Wykonaj opis Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Gdy się uporasz z tym przejdziemy do wykończeń. . Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Witam. Wykonałem powyższe. Dwa podstawowe kanały ustawione jak na załączonym obrazku Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 kokos, nie wiem czy dobrze rozumiem, to jest stan po przeprowadzeniu jakiś działań, czy tak to już wyglądało, gdy zacząłeś to sprawdzać? Poza tym, Menedżer urządzeń nie jest w widoku "Urządzenia według połączeń", więc nie wiem na którym kanale jest podpięty dysk twardy. . Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Jest to stan po przeprowadzeniu działań opisanych - Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Gdy się uporasz z tym przejdziemy do wykończeń. Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Czyli mam rozumieć, że komputer już się nie zacina? I przechodzimy do poprawek, bo nie zostały doczyszczone resztki infekcji ZeroAccess (link symboliczny oraz zmodyfikowany Winsock Namespace). Są również inne odpadki. 1. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" S2 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe [3584 2004-08-04] (Microsoft Corporation) HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\MountPoints2: {521bca40-8667-11de-90e0-00123fbda102} - D:\wbj.exe SearchScopes: HKLM - DefaultScope value is missing. DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\gzbcmyh2.default\extensions\quick_start@gmail.com FF HKLM\...\Thunderbird\Extensions: [avgthb@avg.com] - C:\Program Files\AVG\AVG2012\Thunderbird\ C:\Documents and Settings\admin\Dane aplikacji\f-secure C:\Documents and Settings\admin\Dane aplikacji\maxup C:\Documents and Settings\All Users\Dane aplikacji\AVG January 2013 Campaign C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\WINDOWS\system32\Drivers\TrufosAlt.sys Unlock: C:\WINDOWS\$NtUninstallKB59812$ CMD: fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB59812$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dodaj także log z Farbar Service Scanner. . Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Nie zacina się. Wykonałem powyższe. Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Skrypt pomyślnie przetworzony. Kolejne poprawki, w tym odbudowa usługi Centrum zabezpieczeń (skasowana przez ZeroAccess): 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść wprost na C:\. 2. Otwórz Notatnik i wklej w nim: CMD: reg import C:\FIX.REG C:\WINDOWS\$NtUninstallKB59812$ Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. 3. Zrób nowy log z Farbar Service Scanner. Dodaj fixlog.txt. . Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wykonałem. Fixlog.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wszystko zrobione. Kończymy: 1. Usuń używanie narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) skasuj folder: C:\Documents and Settings\admin\Pulpit\Stare dane programu Firefox 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Tu jest jeszcze jedna stara Java do usunięcia, a śmierdzący mało bezpieczny archaizm Gadu-Gadu 6.1 wymień np. nowoczesnym WTW: KLIK. ==================== Installed Programs ====================== Adobe Reader X (10.1.9) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) Gadu-Gadu 6.1 (HKLM\...\Gadu-Gadu) (Version: - ) Java 7 Update 11 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217007FF}) (Version: 7.0.110 - Oracle) . Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Adobe Reader X (10.1.9) także usunąć? Odnośnik do komentarza
Rucek Opublikowano 11 Marca 2014 Zgłoś Udostępnij Opublikowano 11 Marca 2014 tak, jest stary, odinstaluj i zainstaluj nową wersję Odnośnik do komentarza
kokos Opublikowano 11 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2014 Wykonane, włącznie ze zmianą komunikatora. Jeśli to wszystko, to dziękuję za poświęcony czas i wyczerpujące rozwiązanie problemu. Jestem pod wrażeniem. Mam jeszcze jedno pytanie odnośnie komunikatora WTW. Czy klikając w ikonkę WTW na dole po prawej stronie zawsze musi otwierać się przycisk na dole po lewej stronie, czy można to jakoś wyłączyć. W GG tego nie było. Otwierało się tylko okienko po prawej. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się