htw Opublikowano 17 Października 2014 Zgłoś Udostępnij Opublikowano 17 Października 2014 Witam, sprawa jak zawsze, przeglądarki dają w dupę, trochę tam tego jest. Troszkę wypadłem z wprawy więc wolę poprosić o pomoc Wszystkie lewe programy odinstalowane w sposób "naturalny". Log gmer (z awaryjnego) reszta normalnie. gmer.txt OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2014 Zgłoś Udostępnij Opublikowano 17 Października 2014 Na początek podaj mi dokładną wersję Google Chrome, ponieważ jeśli adware przekonwertowało przeglądarkę ze stabilnej na typ dev-m (czyli "development") odblokowujący instalację adware, czyszczenie będzie wyglądać całkiem inaczej, tzn. reinstalacja Chrome a nie patyczkowanie się. W Chrome w pasku adresów wklej chrome://version i przeklej linię podającą wersję. Odnośnik do komentarza
htw Opublikowano 17 Października 2014 Autor Zgłoś Udostępnij Opublikowano 17 Października 2014 Google Chrome 37.0.2062.124 (Oficjalna wersja 281580) m z tego co wiem Chrome jest nie używaną przeglądarką. Głównie Firefox. Odnośnik do komentarza
picasso Opublikowano 17 Października 2014 Zgłoś Udostępnij Opublikowano 17 Października 2014 Zapomniałam napisać: brakuje obowiązkowego pliku FRST Shortcut. z tego co wiem Chrome jest nie używaną przeglądarką. Głównie Firefox. A tu nie ma w ogóle Firefox na liście zainstalowanych. Jest Google Chrome i dwie Opery (przy czym uruchomiona jest najnowsza) oraz odpadek po Firefox (Mozilla Maintenance Service): ==================== Installed Programs ====================== Google Chrome (HKLM-x32\...\Google Chrome) (Version: 37.0.2062.124 - Google Inc.) Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 32.0.2 - Mozilla) Opera 12.16 (HKLM\...\Opera 12.16.1860) (Version: 12.16.1860 - Opera Software ASA) Opera Stable 25.0.1614.50 (HKLM-x32\...\Opera 25.0.1614.50) (Version: 25.0.1614.50 - Opera Software ASA) Są owszem inne ślady Firefox na dysku (profil), ale i tak Firefox nie wgląda na poprawnie zainstalowany i będzie usuwany. Na teraz: 1. Jeśli chodzi o uszkodzony Firefox, to jeśli w profilu Wojtka są cenne hasła czy bookmarki, to skopiuj je za pomocą MozBackup. Nie kopiuj nic więcej, by nie zabrudzić nowej instalacji. Pozbądź się też z Pulpitu wszystkich wcześniej zrobionych kopii profilu Firefox: C:\Users\Wojtek\Desktop\Moziilaprofil C:\Users\Wojtek\Desktop\Stare dane programu Firefox 2. Poprawne deinstalacje: - Przez Panel sterowania odinstaluj stare lub zbędne aplikacje: Adobe Flash Player 14 ActiveX, Adobe Flash Player 14 Plugin, Akamai NetSession Interface, Google Chrome, Java 7 Update 51, McAfee Security Scan Plus, Mozilla Maintenance Service, Opera 12.16. Przy deinstalacjach przeglądarek odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. - W tle działa też wątpliwy program YAC (Yet Another Cleaner), który jednak ma deinstalator gdzie indziej. Nie podałeś FRST Shortcut, więc jest zgadywanie. Uruchom plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WebUpdate4; C:\Windows\SysWOW64\WebUpdateSvc4.exe [278800 2010-08-18] (Data Perceptions / PowerProgrammer) S1 NNSHTTPS; C:\Windows\System32\DRIVERS\NNSHttps.sys [95712 2013-01-09] (Panda Security, S.L.) R1 NNSNAHSL; C:\Windows\System32\DRIVERS\NNSNAHSL.sys [33320 2012-10-22] (Panda Security, S.L.) S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] Task: {448F89C6-AADB-44B0-9313-D639F0F2A7C0} - System32\Tasks\LCANJ => C:\Users\Wojtek\AppData\Roaming\LCANJ.exe Task: {66E8C573-A9A3-4689-8B77-EF1E67062D76} - \RealUpgradeScheduledTaskS-1-5-21-4094745809-975373488-2947739042-1000 No Task File Task: {81D05BD1-2B23-46FF-89D1-E03B949CEF9A} - System32\Tasks\DTTYN => C:\Users\Wojtek\AppData\Roaming\DTTYN.exe Task: {8CD51B56-470A-4FFC-A653-315144A1C7A3} - \{B262C4AE-99FB-4D14-8E37-7231A36355C4} No Task File Task: {C2DA9667-76A9-4B99-B53C-3961B093CC9D} - System32\Tasks\WPOLXBFS => C:\Users\Wojtek\AppData\Roaming\WPOLXBFS.exe Task: {C3F47F27-012F-4029-B5DF-43D9557B8604} - System32\Tasks\GCWKSGNG => C:\Users\Wojtek\AppData\Roaming\GCWKSGNG.exe Task: {D45B0623-7D1F-4CB2-8C7B-C5B06526EDD3} - System32\Tasks\{954586E7-E94F-4401-9F00-05481696402A} => Firefox.exe http://ui.skype.com/ui/0/6.5.0.158/pl/go/help.faq.installer?LastError=1618 Task: {D60F456A-20E5-412C-8993-60C2F1321361} - \RealUpgradeLogonTaskS-1-5-21-4094745809-975373488-2947739042-1000 No Task File Task: C:\Windows\Tasks\DTTYN.job => C:\Users\Wojtek\AppData\Roaming\DTTYN.exe Task: C:\Windows\Tasks\GCWKSGNG.job => C:\Users\Wojtek\AppData\Roaming\GCWKSGNG.exe Task: C:\Windows\Tasks\LCANJ.job => C:\Users\Wojtek\AppData\Roaming\LCANJ.exe Task: C:\Windows\Tasks\WPOLXBFS.job => C:\Users\Wojtek\AppData\Roaming\WPOLXBFS.exe HKU\S-1-5-21-4094745809-975373488-2947739042-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Wojtek\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=60285c23d09047d3b4957d3bcffc2508-78e38c0f48d7f088e41a422eb830071f395ca4ef /CMPID=1213b HKU\S-1-5-21-4094745809-975373488-2947739042-1000\...\Policies\system: [DisableLockWorkstation] 0 BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe SearchScopes: HKCU - {98A9AA01-09BA-495C-B969-989F60A13EC1} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Freemake C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\AVG2014 C:\ProgramData\Freemake C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Splashtop Remote C:\ProgramData\Mozilla C:\Users\Wojtek\*.exe C:\Users\Wojtek\AppData\Local\Google\Chrome C:\Users\Wojtek\AppData\Local\Mozilla C:\Users\Wojtek\AppData\Roaming\DTTYN C:\Users\Wojtek\AppData\Roaming\GCWKSGNG C:\Users\Wojtek\AppData\Roaming\LCANJ C:\Users\Wojtek\AppData\Roaming\WPOLXBFS C:\Users\Wojtek\AppData\Roaming\ArcaVirMicroScan C:\Users\Wojtek\AppData\Roaming\eCyber C:\Users\Wojtek\AppData\Roaming\Elex-tech C:\Users\Wojtek\AppData\Roaming\Mozilla C:\Users\Wojtek\AppData\Roaming\Opera C:\Users\Wojtek\AppData\Roaming\Panda Security C:\Users\Wojtek\AppData\Roaming\Rywiid C:\Users\Wojtek\AppData\Roaming\TuneUp Software C:\Windows\AvastEmUpdate.ini C:\Windows\system32\log C:\Windows\System32\DRIVERS\NNSHttps.sys C:\Windows\System32\DRIVERS\NNSNAHSL.sys C:\Windows\SysWOW64\WebUpdateSvc4.exe DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\Users\Wojtek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Wojtek\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wojtek\AppData\Local CMD: dir /a C:\Users\Wojtek\AppData\LocalLow CMD: dir /a C:\Users\Wojtek\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Gdyby po wykonaniu skryptu padła sieć, to: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > z boku Zmień ustawienia karty sieciowej > z prawokliku na każde obecne pobierz Właściwości i w Ogólne w używanych komponentach sprawdź czy stoi coś od Pandy. Jeśli tak, odinstaluj i zresetuj system. 4. Zainstaluj najnowszy Firefox. Przeportuj do niego zakładki i hasła za pomocą MozBackup, o ile jest co wstawiać. 5. W systemie są dwa konta: ========================= Accounts: ========================== Mcx1-WOJTEK_FISHPOIN (S-1-5-21-4094745809-975373488-2947739042-1065 - Limited - Enabled) => C:\Users\Mcx1-WOJTEK_FISHPOIN Wojtek (S-1-5-21-4094745809-975373488-2947739042-1000 - Administrator - Enabled) => C:\Users\Wojtek Logi pochodzą z konta Wojtek, a potrzebne z obu kont. Po kolei zaloguj się na każde z nich i zrób nowy log FRST z opcji Scan, przy czym: - Na koncie administracyjnym trzy logi (FRST.txt, Addition.txt i Shortcut.txt), na limitowanym dwa (FRST.txt i Addition.txt) - Loguj się przez pełny restart komputera a nie opcję Przełącz użytkowników lub Wyloguj, a na koncie limitowanym nie startuj FRST opcją "Uruchom jako Administrator", gdyż to zmieni kontekst konta. Dołącz też plik fixlog.txt. I opisz co się w ogóle dzieje. . Odnośnik do komentarza
htw Opublikowano 18 Października 2014 Autor Zgłoś Udostępnij Opublikowano 18 Października 2014 po wykonaniu pierwszego fixlist'a pojawił się blue screen. Jestem w trzecim punkcie (po wykonaniu 2 poprzednich) i system nie wstaje. update: System wstał po paru próbach restartu. Podobno jest jedno konto i zalogować się można pod jedno (Wojtek) - też widziałem dwa i się zdziwiłem( może jakaś usługa sieciowa sobie utworzyła ?) McAfee nie chce się odinstalować (próbowałem z głównego katalogu plikiem uninstall.exe) Bardzo wątpliwy program szalejący w tle został pomyślnie wywalony. w załącznikach log po fixlist (w trakcie był crash) oraz nowe trzy logi z FRST ( z jednego konta) . FRST.txt Addition.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Cisowiaka Opublikowano 19 Października 2014 Zgłoś Udostępnij Opublikowano 19 Października 2014 C:\Users\Wojtek\AppData\Local\Google\Chrome C:\Users\Wojtek\AppData\Local\Mozilla C:\Users\Wojtek\AppData\Roaming\DTTYN C:\Users\Wojtek\AppData\Roaming\GCWKSGNG C:\Users\Wojtek\AppData\Roaming\LCANJ C:\Users\Wojtek\AppData\Roaming\WPOLXBFS C:\Users\Wojtek\AppData\Roaming\ArcaVirMicroScan C:\Users\Wojtek\AppData\Roaming\eCyber C:\Users\Wojtek\AppData\Roaming\Elex-tech C:\Users\Wojtek\AppData\Roaming\Mozilla C:\Users\Wojtek\AppData\Roaming\Opera C:\Users\Wojtek\AppData\Roaming\Panda Security C:\Users\Wojtek\AppData\Roaming\Rywiid C:\Users\Wojtek\AppData\Roaming\TuneUp Software @picasso po czym stwierdzić że dane foldery nie mogą się znajdować w danej lokalizacji, po nazwach trudno powiedzieć np folder Opera, Panda Security itp wiem że dane produkty, nie są tu instalowane ale czy dane programy nie może mieć takich samych nazw folderów co ścieżka do folderu instalacyjnego? czy są może inne sposoby po których z całego LOGa otl moża wyżcucic jeden folder. C:\Windows\AvastEmUpdate.ini Plik zdaje się plikiem od aplikacji Avast, rozumuje sobię że dany program swoje składniki moduły czy drivers instaluje w folderach systemowych, czy dzięki temu nie może zostawić swoje pliki folderach systemowych, wiem również że pliki avast są wyższych pod katalogach C:\windows\system32 Czy jest tu może jakaś zasada przy, której można się trzymać. Wiem że aplikacji Avast nie ma już w systemie, że w tej sytułacji jest to tylko czyszczenie, ale wiem że pliki ini pochodzące z aplikcji smało wywalasz Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 19 Października 2014 Zgłoś Udostępnij Opublikowano 19 Października 2014 htw po wykonaniu pierwszego fixlist'a pojawił się blue screen. (...) System wstał po paru próbach restartu. Nie wiem o co chodzi. Podobno jest jedno konto i zalogować się można pod jedno (Wojtek) - też widziałem dwa i się zdziwiłem( może jakaś usługa sieciowa sobie utworzyła ?) Sprawdź w Panelu sterowania czy jest to drugie konto listowane i je usuń. McAfee nie chce się odinstalować (próbowałem z głównego katalogu plikiem uninstall.exe) Sprawdź czy go usunie McAfee Consumer Product Removal Tool. Załączone logi z FRST wyglądają na logi sprzed wykonania skryptu i pokazują to co było już usuwane. Proszę ponownie o świeże logi FRST. Cisowiaka Wszystko załączone, bo to odpadki adware oraz poprawnych programów - powiązane programy odinstalowane. Wszystkie dane masz w logach oraz w moim poście (podane konkretne instrukcje dodatkowych deinstalacji). . Odnośnik do komentarza
htw Opublikowano 19 Października 2014 Autor Zgłoś Udostępnij Opublikowano 19 Października 2014 podczas odpalenia FRST z fixlist był blue screen, komputer nie mógł sie odpalić i nastąpiła naprawa uruchamiania, może przywróciła system do ostatniego dobrego stanu ? osobiście tego nie robię wiec nie widzę do końca wszystkiego (notabene wiem że nie była używana konsola przyracania systemu, to wiem to na 90%) po odpaleniu systemu w dodaj i usuń programy istniały programy które wcześniej wywalałem, a podczas próby dezinstalacji (ponownej) wywalało błędami. Zrobiłem wtedy (po blu) nowym świeżym FRST logi i wysłałem sprawdzę ten MCAfree Remolver i wywale jesli istnieje drugie konto (jest uzywane tylko jedno) Odnośnik do komentarza
picasso Opublikowano 19 Października 2014 Zgłoś Udostępnij Opublikowano 19 Października 2014 Może system zrobił jakieś "Recovery", tylko byłoby ono dość grube (nie tylko rejestr, ale i obiekty na dysku) ... Przeprowadź akcje podane powyżej i zrób nowe logi FRST. Odnośnik do komentarza
htw Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 fixlist odpaliłem od razu po dezinflacji wszystkiego z dodaj i usuń (elementy o które prosiłaś) i wtedy nastąpił blu (mogłem w zasadzie uruchomić system ponownie ...) - nie spasowało mu to czyszczenia czyszczenie trwa parę sekund, może system nie zdążył zarejestrować zmian i listuje softem którego nie ma ? tak czy inaczej nowy log będzie oczywiście odrazu jak sie dostane na chorego laptopa( bo musiał sie wygasić ) Odnośnik do komentarza
picasso Opublikowano 20 Października 2014 Zgłoś Udostępnij Opublikowano 20 Października 2014 Skopiuj także na Pulpit folder C:\Windows\Minidump (o ile nie jest pusty i zawiera pliki datowane na dzień usterki tzn. 18.10.2014), spakuj do ZIP, shostuj gdzieś i podaj link do paczki. czyszczenie trwa parę sekund, może system nie zdążył zarejestrować zmian i listuje softem którego nie ma ? Ale popatrz do pliku Fixlog... Masowe odczyty "deleted successfully" + "moved successfully". Odnośnik do komentarza
htw Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 Ale popatrz do pliku Fixlog... Masowe odczyty "deleted successfully" + "moved successfully". widziałem i własnie nie rozumiem. - nowe logi po kasowaniu (ponownym) w dodaj i usuń, opera 12 i wybija errorem podczas dezinstalacji. - YAC niestety w Programyfiles siedzi dalej i nie idzie go odinstalować przez uninstall.exe - poprzednio z przed blu udało sie. - McAfree cudownie sie odinstalował (poprzednio nie było mowy) - monidump niestety z Thu Oct 16 22:40:28.758 2014, ale awaryjnie wstawiam (tylko to było), mogę włączyć żeby zrzucał ewentualnie wszystko podczas nowego fixlist'a. - Facet ma faktycznie dwa konta, cały folder Mcx1-WOJTEK_FISHPOIN zajmuje 40 MB, w zarządzaniu kontem jest tylko GOŚĆ i WOJTEK, a z racji, że posiada wersję HE to nie ma opcji "Użytkownicy i grupy lokalne" żeby wywalić. nowe logi nowym FRST tuż po restarcie: FRST.txt Addition.txt Shortcut.txt Debug1.txt debug2.txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2014 Zgłoś Udostępnij Opublikowano 20 Października 2014 - Facet ma faktycznie dwa konta, cały folder Mcx1-WOJTEK_FISHPOIN zajmuje 40 MB, w zarządzaniu kontem jest tylko GOŚĆ i WOJTEK, a z racji, że posiada wersję HE to nie ma opcji "Użytkownicy i grupy lokalne" żeby wywalić. Na Windows typu "Home" zadanie usuwania / dodawania kont można wykonać z poziomu konsoli cmd. W tym przypadku usuwanie konta to: net user Mcx1-WOJTEK_FISHPOIN /delete - nowe logi po kasowaniu (ponownym) w dodaj i usuń, opera 12 i wybija errorem podczas dezinstalacji. - YAC niestety w Programyfiles siedzi dalej i nie idzie go odinstalować przez uninstall.exe - poprzednio z przed blu udało sie. - McAfree cudownie sie odinstalował (poprzednio nie było mowy) Efekty wyglądają tak jakby system zrobił "Przywracanie systemu".... No cóż kolejne podejście, ale nieco zmodyfikowane: 1. Utwórz ręcznie punkt Przywracania systemu. 2. Zapisz nowy Fixlist o postaci: R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2014-09-24] (Elex do Brasil Participações Ltda) R2 WebUpdate4; C:\Windows\SysWOW64\WebUpdateSvc4.exe [278800 2010-08-18] (Data Perceptions / PowerProgrammer) R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [248488 2014-09-24] (Elex do Brasil Participações Ltda) R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [99496 2014-09-24] (Elex do Brasil Participações Ltda) R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [65704 2014-09-24] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [49320 2014-09-22] (Elex do Brasil Participações Ltda) S1 NNSHTTPS; C:\Windows\System32\DRIVERS\NNSHttps.sys [95712 2013-01-09] (Panda Security, S.L.) R1 NNSNAHSL; C:\Windows\System32\DRIVERS\NNSNAHSL.sys [33320 2012-10-22] (Panda Security, S.L.) S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] Task: {448F89C6-AADB-44B0-9313-D639F0F2A7C0} - System32\Tasks\LCANJ => C:\Users\Wojtek\AppData\Roaming\LCANJ.exe Task: {66E8C573-A9A3-4689-8B77-EF1E67062D76} - \RealUpgradeScheduledTaskS-1-5-21-4094745809-975373488-2947739042-1000 No Task File Task: {81D05BD1-2B23-46FF-89D1-E03B949CEF9A} - System32\Tasks\DTTYN => C:\Users\Wojtek\AppData\Roaming\DTTYN.exe Task: {8CD51B56-470A-4FFC-A653-315144A1C7A3} - \{B262C4AE-99FB-4D14-8E37-7231A36355C4} No Task File Task: {C2DA9667-76A9-4B99-B53C-3961B093CC9D} - System32\Tasks\WPOLXBFS => C:\Users\Wojtek\AppData\Roaming\WPOLXBFS.exe Task: {C3F47F27-012F-4029-B5DF-43D9557B8604} - System32\Tasks\GCWKSGNG => C:\Users\Wojtek\AppData\Roaming\GCWKSGNG.exe Task: {D45B0623-7D1F-4CB2-8C7B-C5B06526EDD3} - System32\Tasks\{954586E7-E94F-4401-9F00-05481696402A} => Firefox.exe http://ui.skype.com/ui/0/6.5.0.158/pl/go/help.faq.installer?LastError=1618 Task: {D60F456A-20E5-412C-8993-60C2F1321361} - \RealUpgradeLogonTaskS-1-5-21-4094745809-975373488-2947739042-1000 No Task File Task: {EC069260-24BC-4CBC-9FBB-63C81E45323B} - System32\Tasks\Microsoft\Windows\Media Center\Extender\Update media permissions for Mcx1-WOJTEK_FISHPOIN => C:\Windows\ehome\McxTask.exe Task: C:\Windows\Tasks\DTTYN.job => C:\Users\Wojtek\AppData\Roaming\DTTYN.exe Task: C:\Windows\Tasks\GCWKSGNG.job => C:\Users\Wojtek\AppData\Roaming\GCWKSGNG.exe Task: C:\Windows\Tasks\LCANJ.job => C:\Users\Wojtek\AppData\Roaming\LCANJ.exe Task: C:\Windows\Tasks\WPOLXBFS.job => C:\Users\Wojtek\AppData\Roaming\WPOLXBFS.exe HKU\S-1-5-21-4094745809-975373488-2947739042-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Wojtek\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=60285c23d09047d3b4957d3bcffc2508-78e38c0f48d7f088e41a422eb830071f395ca4ef /CMPID=1213b BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe SearchScopes: HKCU - {98A9AA01-09BA-495C-B969-989F60A13EC1} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File C:\Program Files\Opera x64 C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Mozilla Maintenance Service C:\Program Files (x86)\Opera x64 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\ProgramData\Mozilla C:\Users\Wojtek\AppData\Local\Google\Chrome C:\Users\Wojtek\AppData\Local\Mozilla C:\Users\Wojtek\AppData\Local\Opera C:\Users\Wojtek\AppData\Roaming\ArcaVirMicroScan C:\Users\Wojtek\AppData\Roaming\eCyber C:\Users\Wojtek\AppData\Roaming\Elex-tech C:\Users\Wojtek\AppData\Roaming\Mozilla C:\Users\Wojtek\AppData\Roaming\Opera C:\Windows\System32\DRIVERS\iSafeNetFilter.sys C:\Windows\System32\DRIVERS\NNSHttps.sys C:\Windows\System32\DRIVERS\NNSNAHSL.sys C:\Windows\SysWOW64\WebUpdateSvc4.exe Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Opera 12.16.1860" /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wojtek\AppData\Local CMD: dir /a C:\Users\Wojtek\AppData\LocalLow CMD: dir /a C:\Users\Wojtek\AppData\Roaming CMD: netsh advfirewall reset Reboot: 3. Przejdź do Trybu awaryjnego Windows. Uruchom FRST i Fix. Ma nastąpić restart i powstać plik Fixlog. Jeśli nastąpi BSOD, F8 > Napraw komputer > Przywracanie systemu do punktu utworzonego na początku. Jeśli nie: 4. Przejdź do Trybu normalnego. Zrób nowy log FRST (zaznacz pole Addition). Dołącz Fixlog. . Odnośnik do komentarza
htw Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 jeszcze zobaczyłem jak system sobie po biadolił przy fixliście : Ran by Wojtek at 2014-10-18 10:45:37 Run:1 - I FIXLIST Data: 2014-10-18 10:45:38 - Pierwszy błąd błędy pod tytułem: Usługa AMD External Events Utility niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Usługa Intel® Capability Licensing Service Interface niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 0 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. lista w notatniku. dobra zabieram się do roboty ! update: nowe logi w załączniku, wg instrukcji. Zdarzenia.txt Fixlog .txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2014 Zgłoś Udostępnij Opublikowano 20 Października 2014 jeszcze zobaczyłem jak system sobie po biadolił przy fixliście To nie wygląda na powiązane z problemem. Przecież pierwsza komenda w skrypcie to było CloseProcesses: (zabijanie nieesensjonalnych procesów) i owe błędy usług to może być właśnie reakcja na zabicie. nowe logi w załączniku, wg instrukcji. Wszystko wykonane. Kolejna porcja czynności: 1. Utwórz asekuracyjnie kolejny punkt Przywracania systemu. 2. Sprawdź w Operze w Rozszerzeniach czy jest tam nadal adware TheGoPhoto.it V10, TheHDvid-Codec V10 (jeśli jest, odinstaluj). Poprzednio było, możliwe iż po aferach coś się zmieniło. 3. Załaduj nowy Fixlist do FRST: AV: avast! Antivirus (Disabled - Out of date) {2B2D1395-420B-D5C9-657E-930FE358FC3C} AS: avast! Antivirus (Disabled - Out of date) {904CF271-6431-DA47-5FCE-A87D98DFB681} FW: avast! Internet Security (Disabled) {131692B0-0864-D491-4E21-3A3A1D8BBB47} S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] C:\Program Files\AVAST Software C:\Program Files\VDownloader C:\Program Files (x86)\AVG C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Java C:\Program Files (x86)\Panda Security C:\Program Files (x86)\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\AVG Web TuneUp C:\ProgramData\Avg_Update_0414b C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Panda Security C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Symantec C:\Users\Wojtek\AppData\Local\cookies.ini C:\Users\Wojtek\AppData\Local\avgchrome C:\Users\Wojtek\AppData\Local\cache C:\Users\Wojtek\AppData\Local\MFAData C:\Users\Wojtek\AppData\Local\SlimWare Utilities Inc C:\Users\Wojtek\AppData\LocalLow\Sun RemoveDirectory: C:\Users\Mcx1-WOJTEK_FISHPOIN CMD: netsh advfirewall reset Reboot: Klik w Fix. Ma nastąpić restart i powstać nowy plik Fixlog. Jeśli nastąpi BSOD, F8 > Napraw komputer > Przywracanie systemu do owego asekuracyjnego punktu. . Odnośnik do komentarza
htw Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 To nie wygląda na powiązane z problemem. Przecież pierwsza komenda w skrypcie to było CloseProcesses: (zabijanie nieesensjonalnych procesów) i owe błędy usług to może być właśnie reakcja na zabicie. dokładnie. Fix wykonany bez BSOD. TheGoPhoto.it V10, TheHDvid-Codec V10 - wykasowane z pozycji rozszerzeń Opery nowe logi w załącznikach. . Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2014 Zgłoś Udostępnij Opublikowano 20 Października 2014 Wszystko zrobione. Kolejna porcja: 1. Utwórz asekuracyjnie kolejny punkt Przywracania systemu. 2. Kolejny Fixlist do FRST: CloseProcesses: DeleteQuarantine: EmptyTemp: W FRST wywołaj Fix. Ma nastąpić restart i powstać fixlog.txt. W razie wpadki Przywracanie systemu do świeżo zrobionego punktu. Nowy log FRST nie jest mi potrzebny. . Odnośnik do komentarza
htw Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 w zasadzie Processes closed successfully. "C:\FRST\Quarantine" => removed successfully. EmptyTemp: => Removed 46.1 MB temporary data. Fixlog (1).txt Odnośnik do komentarza
htw Opublikowano 21 Października 2014 Autor Zgłoś Udostępnij Opublikowano 21 Października 2014 mam rozumieć, że to koniec, finisz jak zawsze ? ADW odpaliłem jeszcze i coś takiego znalazł: Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536 wywaliłe. Odnośnik do komentarza
picasso Opublikowano 23 Października 2014 Zgłoś Udostępnij Opublikowano 23 Października 2014 Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536 Usunięcie tych kluczy to był błąd - to ogólne klucze komponentów msvcr71.dll + msvcp71.dll, a biblioteki te mogą być używane zarówno przez poprawne programy, jak i szkodniki. Kluczy nie należy usuwać, tylko ewentualnie podwartości w nich zlokalizowane, które wyraźnie punktują do ścieżki adware (tu nawet nie wiadomo czy coś takiego było). Skutki uboczne usuwania: jeśli w kluczach było coś poprawnego, powiązany dany program zacznie zgłaszać błędy Instalatora Windows i będzie konieczna jego reinstalacja. I ja to zgłaszałam dawno temu w AdwCleaner jako wadliwe kasacje, zostało to ponoć rozwiązane. Tak więc: co za wersja AdwCleaner użyta? Obciąłeś nagłówek AdwCleaner - on także jest ważny. . Odnośnik do komentarza
htw Opublikowano 23 Października 2014 Autor Zgłoś Udostępnij Opublikowano 23 Października 2014 kurczę, nie wiedziałem wersja oczywiście najnowsza ... Odnośnik do komentarza
picasso Opublikowano 23 Października 2014 Zgłoś Udostępnij Opublikowano 23 Października 2014 Będę to ponownie zgłaszać autorowi. Dostarcz mi: 1. Cały oryginalny log AdwCleaner. 2. Poprzednią wersję kluczy. Jest ona nagrana w kopii rejestru zrobionej przez FRST. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg export HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 C:\Users\Wojtek\Desktop\klucz1.reg Reg: reg export HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536 C:\Users\Wojtek\Desktop\klucz1.reg Reg: reg unload HKLM\Temp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na Pulpicie powstaną dwa pliki reg - shostuj gdzieś i podaj link. . Odnośnik do komentarza
htw Opublikowano 23 Października 2014 Autor Zgłoś Udostępnij Opublikowano 23 Października 2014 obawiam się, że ni będzie bo poszła aplikacja do nowego finishu .. byłem pewny, że to koniec, a tu wyszło jak zwykle .. Odnośnik do komentarza
picasso Opublikowano 23 Października 2014 Zgłoś Udostępnij Opublikowano 23 Października 2014 Skoro usunąłeś już C:\FRST oraz punkty Przywracania systemu, to nie ma już żadnej kopii. Trudno. Teraz należy czekać, czy usunięcie będzie mieć jakieś skutki uboczne. Gdyby jakiś program zgłosił zażalenie kręcące się wokół "Intalatora Windows", po prostu przeinstaluj go. Odnośnik do komentarza
htw Opublikowano 26 Października 2014 Autor Zgłoś Udostępnij Opublikowano 26 Października 2014 Tak jest, dziękuję za pomoc notabene problem z przeglądarką nie ustąpił, ale dokładnie nie wiem o co chodzi. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się