websearch.searchsun.info

[tsm]

Witam

Próbowałem szukać pomocy w tym temacie na innym forum (w dn 08.05) ale okazało się że ten dział jest czasowo nieczynny więc przekopiowałem temat tutaj.

Proszę o sprawdzenie loga po próbie usunięcia websearch.searchsun.info.

W dodaj/usuń został usunięty najprawdopodobniej plik sw-sustainer 1.80 (niestety syn niepamięta) system został zeskanowany Spybot Search&Destroy i usunął trzy pozycje (oczywiście znowu syn nie wie jakie). Niestety tylko takie info posiadam

 

Logi z 08.05.2014:

OTL

Extras

Gmer

 

Niestety syn w dn. 10.05. przeskanował kompa AdwCleaner'em i dokonał czyszczenia

a to jest log z tej operacji.

 

logi z 11.05.2014:

OTL

Extras

Gmer

 

Jak na młodego przystało syn jest niecierpliwy więc w dn. 19.05. znowu dokonał skanu AdwCleaner'em (log z tego skanowania) a poniżej znajdują się aktualne logi (tj. z wczoraj 20.05)

 

OTL

Extras

Gmer

Addition

FRST

Shortcut

 

 

Z góry dziękuję za pomoc

 

Pzdr

[picasso]

Na przyszłość: używaj załączników forum lub innego serwisu wklejkowego (preferowany: wklej.org), gdyż tu użyty wklej.to miesza w kodowaniu i zniekształca wklejone znaki specjalne.

 

Czy na pewno problem przekierowań websearch.searchsun.info nadal występuje? Ten adres był usuwany w pierwszym podejściu AdwCleaner. W obecnych raportach brak jakichkolwiek odniesień do tego adresu. Jeśli przekierowania nadal występują, to uściślij w której przeglądarce i w którym miejscu (strona startowa / nowa karta / wyszukiwarka ...).

 

A na teraz inne działania sprzątające pod kątem wpisów pustych / odpadkowych:

 

1. Otwórz Notatnik i wklej w nim:

 

ProxyServer: localhost:8080
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\rodzina\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17]
CHR HKCU\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\rodzina\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
Task: {23023DC3-890E-4F61-BC92-6D29486CBF21} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe [2013-03-06] (RealNetworks, Inc.)
Task: {5298DD05-A0DB-4BF0-A4FC-78A340AB693F} - System32\Tasks\Secunia PSI Logon Task => C:\Program Files\Secunia\PSI\psi.exe
Task: {579211B9-B52A-4338-A024-C1CD12B83F54} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe [2013-03-06] (RealNetworks, Inc.)
Task: {5A1378A5-9149-42ED-825F-4688BC4E7D20} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe
Task: {7EE494E7-6B54-4138-B037-D1AD416780AA} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: {973092CC-7C63-4EF0-9C0E-020BEB26EF14} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe
Task: {98FEC5E2-7D6C-4196-AFCD-3A8C157F6364} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-865144796-2722442251-660881151-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe [2013-03-06] (RealNetworks, Inc.)
Task: {E2C777CB-DF93-407B-8D36-6B71481C9F6B} - System32\Tasks\{BC56D6AE-2E71-4F88-9E83-9FDAD7E4757E} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.9.0.123&LastError=12007
Task: {F37F1B6E-3FD5-46EC-B4F3-B939EE00627C} - \RealUpgradeLogonTaskS-1-5-21-865144796-2722442251-660881151-1000 No Task File 
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X]
C:\ProgramData\ojvzdisj.xda
C:\ProgramData\16632ae3a94ac84d
C:\ProgramData\DownloadManager
C:\ProgramData\InstallMate
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\RealNetworks
C:\Users\Default\Desktop\CyberLink DVD Suite.lnk
C:\Users\Default\Desktop\CyberLink YouCam.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
C:\Users\postgres\Desktop\CyberLink DVD Suite.lnk
C:\Users\postgres\Desktop\CyberLink YouCam.lnk
C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
C:\Users\postgres.rodzina-PC\Desktop\CyberLink DVD Suite.lnk
C:\Users\postgres.rodzina-PC\Desktop\CyberLink YouCam.lnk
C:\Users\postgres.rodzina-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\postgres.rodzina-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
C:\Users\postgres.rodzina-PC\AppData\Local\Comodo
C:\Users\rodzina\AppData\Local\Comodo
C:\Users\rodzina\AppData\Local\CRE
C:\Users\rodzina\AppData\Roaming\Temp
C:\Users\rodzina\AppData\Roaming\ThePluginSite
C:\Users\Administrator
C:\Users\Gość
C:\Windows\system32\sqlite3.dll
C:\Windows\system32\Drivers\etc\hosts.*.backup
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uninstall" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateLBPShortCut" /f
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Winstep Xtreme Service" /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

3. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz w opcjach).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Odinstaluj też przestarzały i mało skuteczny Spybot - Search & Destroy, w systemie jest już zainstalowany lepszy program MBAM. Dodatkowo, Spybot wykonał niekorzystną modyfikację pliku HOSTS, toteż przywróć domyślny plik posługując się narzędziem Fix-it: KLIK.

 

5. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątkowe wpisy RealNetworks i RealUpgrade 1.1 > Dalej.

 

6. Uruchom TFC - Temp Cleaner.

 

7. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[tsm]

Witam

Przekierowań już nie było ale chciałem się upewnić czy aby napewno wszystko zostało usunięte i nic nie jest gdzieś jeszcze pochowane w systemie.

Oto nowe logi:

FRST.txt

Fixlog.txt

 

Pzdr

[picasso]

Akcje wykonane. Jeszcze drobnostki. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy
C:\Windows\system32\Drivers\etc\hosts.old
CMD: rd /s /q C:\AdwCleaner
CMD: rd /s /q C:\MATS
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Winstep Xtreme Service" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wyikowy fixlog.txt. Po uzyskaniu tego pliku podam czynności końcowe.

 

 

 

.

[tsm]

a oto log po ostatniej operacji:

Fixlog.txt

[picasso]

Kończymy:

 

1. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) skasuj pobrane narzędzia z folderu D:\Pobieranie\Fixitpc.pl.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Te dwa programy do atualizacji:

 

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Mozilla Thunderbird 16.0 (x86 pl) (HKLM\...\Mozilla Thunderbird 16.0 (x86 pl)) (Version: 16.0 - Mozilla)

 

To tyle.

 

 

.

[tsm]

oto log:

DelFix.txt

 

a co się tyczy tych programów to Mozilla Thunderbird w opcji " o programie ... " pokazuje wersję 24.5.0

a Internet Explorer specjalnie został zainstalowany w tej wersji gdyż przy 9 były z nim problemy a mianowicie nie chciał się uruchamiać albo się wieszał ...

[picasso]

OK, skoro jeden jest jakoby aktualny, a drugi w wyższej wersji sprawiał problemy, to na tym poprzestaję. Jak mówiłam, to już koniec zadań. Temat będę zamykać.

[tsm]

W takim razie można temat zamknąć.

Bardzo dziekuję za pomoc i pozdrawiam.