azazello Opublikowano 25 Października 2014 Zgłoś Udostępnij Opublikowano 25 Października 2014 Witam, Problem dotyczy netbooka Dell Inspirion Duo z Windows 7 32bitowym. Proszę o pomoc w usunięciu tego natręctwa. Zainstalowałem to po tym jak Java dopominała się o aktualizację ale w trakcie owej wyskakiwał jakiś komunikat i w efekcie nie aktualizowało się. Próbowałem w googlu znaleźć rozwiązanie problemu (Java) wpisując treść komunikatu jaki dostawałem. Znalazłem cudowne "lekarstwo", którego efektem jest w dalszym ciągu nieaktualna Java i w prezencie jakieś kilkadziesiąt infekcji. Poprzez MBAM usunąłem te infekcje, teraz nic nie pokazuje, ale w programach został Mystartsearch unistal i za cholerę nie daje się odinstalować. W Chrome również strona domowa, startowa - mystartsearch. Pomimo zmiany ustawień powraca. Chrom nie chce się zresetować. Bardzo proszę o pomoc. Niestety GMER dwa razy się zawiesił, a raz skończyło się crash dump'em... Nie widzę w komputerze żadnych emulatorów napędu, ale głowy na pień nie położę... OTL.Txt Extras.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
azazello Opublikowano 27 Października 2014 Autor Zgłoś Udostępnij Opublikowano 27 Października 2014 Ok, z Chrome na razie spokój, zrestartował się. Ale nadal nie mogę odinstalować mystart search uniastal. W logu Addition.txt podejzane jest to : mystartsearch uninstall (HKLM\...\mystartsearch uninstall) (Version: - mystartsearch) <==== ATTENTION Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 Prawdopodobnie nie jesteś w stanie odinstalować tej pozycji, gdyż użyłeś MBAM. Zawsze zaczyna się od deinstalacji, po tym dopiero automaty. I problem przekierowań Mystartsearch nadal istnieje, gdyż są zmodyfikowane skróty LNK przeglądarek. Do wdrożenia poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=manycam&id=manycam_ot&v=4_0&ent=ch_5007&q={searchTerms} AppInit_DLLs: c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll => c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll File Not Found HKLM\...\Run: [uVS11 Preload] => C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File C:\Program Files\Mozilla Firefox C:\Users\Renia\AppData\Roaming\Mozilla C:\Users\Renia\AppData\Roaming\mystartsearch C:\Windows\system32\sho*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D0A7DD4E-4406-4261-B505-BE774A5B9AA1} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są trzy konta: ========================= Accounts: ========================== Adusia . ^^ (S-1-5-21-2954293459-2226986906-1304803025-1167 - Limited - Enabled) => C:\Users\Adusia . ^^ Olusia (S-1-5-21-2954293459-2226986906-1304803025-1168 - Limited - Enabled) => C:\Users\Olusia Renia (S-1-5-21-2954293459-2226986906-1304803025-1000 - Administrator - Enabled) => C:\Users\Renia Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, przy czym tylko na koncie administracyjnym Renia zaznacz, by powstał ponownie Shortcut. Na kontach limitowanych Adusia . ^^ i Olusia uruchom FRST poprzez dwuklik, nie przez "Uruchom jako Administrator" (to zmieni kontekst konta). Doczącz też plik fixlog.txt. . Odnośnik do komentarza
azazello Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 No to jest mały problem. Konta ustawiły dzieci, nie korzystają z nich. Nie pamiętają haseł, które ustaliły. Czy mogę je usunąć i wykonać instrukcje tylko dla konta administratora?, czy może w inny sposób da się zakończyć tą walkę? Wsparłem serwis na tyle jak mogłem... Odnośnik do komentarza
picasso Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 Oczywiście konta można usunąć, jeśli nie są używane i dostępne. To nawet mniej roboty dla mnie ze sprawdzaniem po kolei wszystkich kont. I dzięki za dotację! Odnośnik do komentarza
azazello Opublikowano 29 Października 2014 Autor Zgłoś Udostępnij Opublikowano 29 Października 2014 Konta usunięte. Poniżej raporty. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 Końcowe wyniki zgodnie z planem. Aczkolwiek skrypt był uruchomiony wiele razy, konkretnie aż trzy: Ran by Renia at 2014-10-28 23:10:56 Run:3 Skryptów nie należy powtarzać, są jednorazowe. Co się działo podczas pierwszego podejścia? Czy w folderze archiwum C:\FRST\Logs występują starsze pliki o modelu nazwy Fixlog_data_czas.txt? Odnośnik do komentarza
azazello Opublikowano 29 Października 2014 Autor Zgłoś Udostępnij Opublikowano 29 Października 2014 Mea maxima culpa... Po uruchomieniu wydawało mi się, że narzędzie "wisi" i dopiero za trzecim razem okazałem cierpliwość. W C:\FRST\Logs jest jeden starszy log: Fixlog_28-10-2014_23-18-22.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 To jest ten sam Fixlog co wcześniej (runda numer 3). Na przyszłość: Fix niekoniecznie może być błyskawiczny, należy cierpliwie czekać. Jak mówiłam, zadania się wykonały i w nowych raportach brak oznak infekcji. Kończymy: 1. Jeszcze dokasowanie folderów usuniętych kont. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Adusia . ^^ RemoveDirectory: C:\Users\Olusia DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt i to zanim przejdziesz dalej (zostanie skasowany). 2. Usuń ręcznie folder C:\Users\Renia\Desktop\FRST. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Poniższe aplikacje do aktualizacji: ==================== Installed Programs ====================== Adobe Reader X (10.1.12) MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217017FF}) (Version: 7.0.170 - Oracle) Java 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216027FF}) (Version: 6.0.300 - Oracle) Mozilla Thunderbird 9.0.1 (x86 pl) (HKLM\...\Mozilla Thunderbird 9.0.1 (x86 pl)) (Version: 9.0.1 - Mozilla) Opera Stable 20.0.1387.82 (HKLM\...\Opera 20.0.1387.82) (Version: 20.0.1387.82 - Opera Software ASA) Odnośnik do komentarza
azazello Opublikowano 29 Października 2014 Autor Zgłoś Udostępnij Opublikowano 29 Października 2014 Ok, fixlog poniżej. Wykonuję dalsze punkty Twojej instrukcji. Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-10-2014 01 Ran by Renia at 2014-10-29 13:47:41 Run:4Running from C:\Users\Renia\Desktop\FRSTLoaded Profile: Renia (Available profiles: Renia)Boot Mode: Normal ============================================== Content of fixlist:*****************RemoveDirectory: C:\Users\Adusia . ^^RemoveDirectory: C:\Users\OlusiaDeleteQuarantine:***************** "C:\Users\Adusia . ^^" => Removed successfully."C:\Users\Olusia" => Removed successfully."C:\FRST\Quarantine" => Removed successfully. ==== End of Fixlog ==== Wykonałem punkty 2 i 3, aktualizacje później. Jeśli to wszystko to bardzo dziękuję za (jak zwykle) szybką i profesjonalną pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi