Firefox sam się uruchamia - farmaster.net

[banana]

Witam! Po uruchomieniu komputera pokazuje się czarne okienko - takie jak do wpisywania komend, na którym ukazana jest strona farmaster.net, po tym automatycznie włącza się firefox. 

 

Nie wiem czy to tylko sama strona czy coś poważniejszego, dlatego też załączam logi z olt czy frst, niestety z gmera mam problem zrobić gdyż się zacina po pewnym czasie skanowania. Mam nadzieję że logi są dobrze zrobione

Z góry dziękuję za wszelką pomoc. 

Addition.txt

OTL.Txt

FRST.txt

Extras.Txt

[CreepyPasste]

Aż się zarejestrowałem żeby to napisać

 

Musisz ściągnąć Ccleanera i go zainstalować. Gdy go włączysz wciskasz Narzędzia i autostart i tam powinno być CMD musisz wyłączyć i usunąć go i gotowe

[Rucek]

@CreepyPasste: zapoznaj się proszę z zasadami forum, zanim zaczniesz coś pisać https://www.fixitpc.pl/forum-38/announcement-1-wa%C5%BCne-u%C5%BCytkownicy-uprawnieni-do-pomocy/

[Zappa]

Okno cmd jest uruchamiane przez ten wpis rejestru

 

HKLM\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20140911 (exit) else (start http://farmaster.net/ && exit)

 

 

Zaraz to usuniemy. Otwórz notatnik i wklej

 

HKLM\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20140911 (exit) else (start http://farmaster.net/ && exit)
S3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]
EmptyTemp:

 

plik zapisz jako fixlist.txt i umieść na Pulpicie. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy raport fixlog.txt

 

 

Pozostałe czynności zada już Picasso.

[banana]

No więc zrobiłem wszystko jak trzeba, chyba z tym, że niepokoi mnie informacja "Value not found" przy tym kodzie cmd. 

Fixlog.txt

[picasso]

No więc zrobiłem wszystko jak trzeba, chyba z tym, że niepokoi mnie informacja "Value not found" przy tym kodzie cmd.

Cóż, jeśli wykonałeś instrukcje z posta CreepyPasste, to i wpis zniknął i przetwarzanie go w skrypcie FRST było bezcelowe. W związku z brakiem jasności poproszę o nowy log FRST z opji Scan, zaznacz też ponownie pole Addition.

 

 

 

.

[banana]

W załączniku logi

Addition.txt

FRST.txt

[picasso]

Wprawdzie tamtego wpisu nie ma, ale i tak jesteś zainfekowany. Nabyłeś nowe adware, niejaki "Adanak". Prawdopodobna droga nabycia to jedno z tych źródeł: KLIK.

 

1. Rozpocznij od poprawnej deinstalacji adware poprzez Dodaj/Usuń programy: Adanak, ExpressFiles.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też log z AdwCleaner.

 

 

 

 

.

[banana]

AdwCleanerS1.txt

FRST.txt

[picasso]

Drobna poprawka na odpadkowe wpisy. Dwa skrypty, gdyż wypięcie szczątkowego dziennika po odinstalowanym Spybot wymaga tymczasowego unieruchomienia usługi Dziennik zdarzeń:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
BootExecute: autocheck autochk * sdnclean.exe
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Documents and Settings\Maacieek\Dane aplikacji\Lavasoft
C:\Documents and Settings\Maacieek\Dane aplikacji\LavasoftStatistics
C:\Program Files\Spybot - Search & Destroy 2
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: sc config Eventlog start= disabled
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zachowaj wynikowy fixlog.txt.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\SpybotSD.evt


CMD: sc config Eventlog start= auto

Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt.

 

3. Przedstaw oba pliki fixlog.txt.

 

 

 

 

.

[banana]

Raporty:

Fixlog1.txt

Fixlog2.txt

[picasso]

Pierwszy skrypt: wygląda na to, że wykonywałeś dwa razy, bo prawie wszystko jest "not found". Na przyszłość: skrypty są jednorazowe i nie wolno ich powtarzać, nawet jeśli zgłosi się jakiś błąd. I kończymy:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj systemowy Internet Explorer do wersji 8, nawet jeśli go nie używasz.

 

 

 

 

.