mgruba75 Opublikowano 21 Listopada 2014 Zgłoś Udostępnij Opublikowano 21 Listopada 2014 Witam. Proszę was koledzy o pomoc. Co chwila przeglądarka przekierowuje mnie na strone która komunikuje że mam nie aktualną jave a jest to jakś dziwny adres. Ponadto na każdej stronie jest masa reklam. Poniżej zamieszczam logi. Pozdrawiam i z góry dziękuje za pomoc Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2014 Zgłoś Udostępnij Opublikowano 22 Listopada 2014 Głos zabierze koleżanka. Masa adware zainstalowana, na dodatek adware przekonwertowało typ przeglądarki Google Chrome z wersji "stabilnej" do "development" i będzie konieczna kompleksowa reinstalacja. To system z masową ilością kont: ========================= Accounts: ========================== 19 (S-1-5-21-2688399222-3990677332-1833978256-1029 - Administrator - Enabled) => C:\Users\19 28 (S-1-5-21-2688399222-3990677332-1833978256-1037 - Administrator - Enabled) => C:\Users\28 29 (S-1-5-21-2688399222-3990677332-1833978256-1038 - Administrator - Enabled) => C:\Users\29 33 (S-1-5-21-2688399222-3990677332-1833978256-1042 - Administrator - Enabled) => C:\Users\33 36 (S-1-5-21-2688399222-3990677332-1833978256-1045 - Administrator - Enabled) => C:\Users\36 37 (S-1-5-21-2688399222-3990677332-1833978256-1046 - Administrator - Enabled) => C:\Users\37 39 (S-1-5-21-2688399222-3990677332-1833978256-1048 - Administrator - Enabled) ww1 (S-1-5-21-2688399222-3990677332-1833978256-1031 - Administrator - Enabled) => C:\Users\ww1 wyp 3 tyg (S-1-5-21-2688399222-3990677332-1833978256-1034 - Administrator - Enabled) => C:\Users\wyp 3 tyg Zostały tu dostarczone logi z konta 33 i na razie to konto mogę wyczyścić. Inne konta muszą być sprawdzane z osobna. Dodatkowy aspekt: system nie wygląda na oryginalny, tylko na jakąś tweakowaną przeróbkę ruskiej produkcji pobraną z torrent. W systemie są nienaturalne rzeczy jak układ ruskich przeglądarek (charakterystyczny dla modyfikowanych płyt), a także tak jakby uszkodzenia systemu, gdyż widać dużo pozycji Microsoftu bez podpisu cyfrowego. Tak jak w tym temacie: KLIK. Od razu mówię: nie biorę odpowiedzialności, nieoryginalne przerabiane systemy mogą mieć zaszyte "coś" co się kontaktuje zewnętrznie. Używasz na własną odpowiedzialność. Owszem, wyczyszczę system doraźnie, ale silnie namawiam na wymianę całego systemu legalną kopią. BĘDĄC ZALOGOWANYM NA KONCIE 33: Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: EZDownloader, SkypEmoticons, SW-Booster, SW-Sustainer, websave. - Stare wersje Adobe Reader 9.0.1, Adobe Shockwave Player 11.5, Java 6 Update 21, zdefektowaną przeglądarkę Google Chrome oraz iolo technologies' System Mechanic (instalacja wygląda na szczątkową, brakuje plików). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki, a resztę dokończy poniższy skrypt. Nie instaluj jeszcze nowej wersji Google Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 24c54e38; c:\Program Files\DeltaFix\DeltaFix.dll [4173312 2014-11-20] () [File not signed] S2 ioloSystemService; "C:\Program Files\iolo\Common\Lib\ioloServiceManager.exe" [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] S1 ttnfd; system32\drivers\ttnfd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\BatteryCare\WinRing0.sys [X] Task: {825F17BC-1911-45D3-8AD6-49A69D95D8F3} - System32\Tasks\iolo Process Governor => C:\Program Files\iolo\System Mechanic\iologovernor.exe Task: {F69E3278-CC58-46F1-8663-CCF665AE2C27} - System32\Tasks\SW-Booster-S-792098896 => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe [2014-11-20] () Task: C:\Windows\Tasks\SW-Booster-S-792098896.job => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\...\Run: [se] => C:\Users\33\AppData\Roaming\SkypEmoticons\SE.exe [5679008 2014-11-18] (SkypEmoticons) HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\...\MountPoints2: {f31eaffb-6f0c-11e3-90f5-20cf3059b800} - F:\setup.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ioloSystemService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ioloSystemService => ""="Service" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\33\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.search-plaza.info/?pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 HKU\S-1-5-21-2688399222-3990677332-1833978256-1042\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.search-plaza.info/?pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKLM -> Google URL = http://www.google.ru/search?hl=ru&q={searchTerms}\ SearchScopes: HKLM -> Wikipedia URL = http://ru.wikipedia.org/wiki/{searchTerms}\ SearchScopes: HKLM -> Yahoo URL = http://ru.search.yahoo.com/search?p={searchTerms}\ SearchScopes: HKLM -> Yandex URL = http://www.yandex.ru/yandsearch?stype=&nl=0&text={searchTerms}\ SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> Google URL = SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> Wikipedia URL = SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066&q={searchTerms} SearchScopes: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.search-plaza.info/?l=1&q={searchTerms}&pid=3540&r=2014/11/20&hid=12411846271718644983&lg=EN&cc=PL&unqvl=69 BHO: websave -> {1fcb8c05-0464-4397-a841-f8cb872f3f9a} -> C:\Program Files\websave\dcgOp3j2p93B9j.dll () BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1416273565&from=wpc&uid=WDCXWD3200BEVT-80A0RT0_WD-WXN1A503406634066 CustomCLSID: HKU\S-1-5-21-2688399222-3990677332-1833978256-1042_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\33\Downloads\N8FanClub.com_CuteRadio_0.2.1_anna_belle_unsigned.sis.exe () C:\Program Files\DeltaFix C:\Program Files\EZDownloader C:\Program Files\GoSave C:\Program Files\websave C:\Program Files\YoutubeAdBlocke C:\ProgramData\websave C:\ProgramData\23405448 C:\ProgramData\782ccbc22351b486 C:\ProgramData\8659520218203272326 C:\ProgramData\ognfgikghbchhcgbjemenmfodehlahme C:\ProgramData\Trusted publisher C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkypEmoticons C:\Users\19\AppData\Local\Chromatic Browser C:\Users\19\AppData\Local\Comodo C:\Users\19\AppData\Local\Google C:\Users\19\AppData\Local\Torch C:\Users\28\AppData\Local\Chromatic Browser C:\Users\28\AppData\Local\Comodo C:\Users\28\AppData\Local\Google C:\Users\28\AppData\Local\Torch C:\Users\29\AppData\Local\Chromatic Browser C:\Users\29\AppData\Local\Comodo C:\Users\29\AppData\Local\Google C:\Users\29\AppData\Local\Torch C:\Users\33\AppData\Local\Chromatic Browser C:\Users\33\AppData\Local\Comodo C:\Users\33\AppData\Local\Google C:\Users\33\AppData\Local\Torch C:\Users\33\AppData\Roaming\SkypEmoticons C:\Users\33\Downloads\N8FanClub.com*.exe C:\Users\33\Downloads\UploadingDesktop.exe C:\Users\36\AppData\Local\Chromatic Browser C:\Users\36\AppData\Local\Comodo C:\Users\36\AppData\Local\Google C:\Users\36\AppData\Local\Torch C:\Users\36\AppData\Roaming\ioloGovernor C:\Users\37\AppData\Local\Chromatic Browser C:\Users\37\AppData\Local\Comodo C:\Users\37\AppData\Local\Google C:\Users\37\AppData\Local\Torch C:\Users\37\AppData\Roaming\ioloGovernor C:\Users\37\Downloads\*(*)-dp*.exe C:\Users\39\AppData\Local\Chromatic Browser C:\Users\39\AppData\Local\Comodo C:\Users\39\AppData\Local\Google C:\Users\39\AppData\Local\Torch C:\Users\Administrator C:\Users\Gość C:\Users\Public\Desktop\EZDownloader.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\ww1\AppData\Local\Chromatic Browser C:\Users\ww1\AppData\Local\Comodo C:\Users\ww1\AppData\Local\Google C:\Users\ww1\AppData\Local\Torch C:\Users\ww1\Desktop\WorldofTanks.lnk C:\Users\ww1\Desktop\Kontynuuj instalację Origin.lnk C:\Users\ww1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\ww1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk C:\Users\wyp 3 tyg\AppData\Local\Chromatic Browser C:\Users\wyp 3 tyg\AppData\Local\Comodo C:\Users\wyp 3 tyg\AppData\Local\Google C:\Users\wyp 3 tyg\AppData\Local\Torch Hosts: Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Discount Dragon-repairJob" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\icq" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wmagent.exe" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Folder: C:\Users\33\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\33\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\33\AppData\Local CMD: dir /a C:\Users\33\AppData\LocalLow CMD: dir /a C:\Users\33\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz wszystkie logi z folderu C:\AdwCleaner (był używany). Wypowiedz się które z pozostałych kont są w użyciu, a które można usunąć, gdyż każde niestety będziemy musieli sprawdzać z osobna: ========================= Accounts: ========================== 19 (S-1-5-21-2688399222-3990677332-1833978256-1029 - Administrator - Enabled) => C:\Users\19 28 (S-1-5-21-2688399222-3990677332-1833978256-1037 - Administrator - Enabled) => C:\Users\28 29 (S-1-5-21-2688399222-3990677332-1833978256-1038 - Administrator - Enabled) => C:\Users\29 36 (S-1-5-21-2688399222-3990677332-1833978256-1045 - Administrator - Enabled) => C:\Users\36 37 (S-1-5-21-2688399222-3990677332-1833978256-1046 - Administrator - Enabled) => C:\Users\37 39 (S-1-5-21-2688399222-3990677332-1833978256-1048 - Administrator - Enabled) ww1 (S-1-5-21-2688399222-3990677332-1833978256-1031 - Administrator - Enabled) => C:\Users\ww1 wyp 3 tyg (S-1-5-21-2688399222-3990677332-1833978256-1034 - Administrator - Enabled) => C:\Users\wyp 3 tyg . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się