marcinekw Opublikowano 15 Grudnia 2014 Zgłoś Udostępnij Opublikowano 15 Grudnia 2014 Witam.Od kilku dni mam problem z kompem. Nie wiem nawet w którym momencie wpakował mi się surfvox. Ustawił się jako wyszukiwarka oraz strona domowa w chromie, ff i ie. Nie wiem jak mam się tego pozbyć. Próbowałem adwcleaner ale nic. Wszelka pomoc na ten temat w internecie opiera się na logach z FRST oraz spersonalizowanego skrytpu pod daną osobę. Mam nadzieję, że ktoś pomoże mi z tym. W załącznikach logi z FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Na przyszłość, w zestawie obowiązkowych logów jest GMER oraz nadal sprawdzam OTL. A podany tu log z FRST został zrobiony niezgodnie z zaleceniem, opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Modyfikacje Surfvox są chronione przez aktywnie uruchomione procesy nvxasync.exe, stąd niemożność usunięcia tego. Próbując usuwać problem używałeś wątpliwe skanery SpyHunter i YAC. Na temat YAC wypowiadałam się w tym temacie: KLIK. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj Akamai NetSession Interface, YAC(Yet Another Cleaner!). Natomiast deinstalator SpyHunter jest linkowany w Menu Start. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2014-12-07] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2014-12-07] () HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2106215166-627046832-3064983697-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> 872BAC5B89A048ACB67BD7A82275C53B URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {184CE823-A5CB-4281-B074-3989133ACA11} URL = http://www.bing.com/search?FORM=U218DF&PC=U218&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EB0ECFCF-19BE-4038-BEE7-5C935107440A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EDE103DA-CC2F-42BE-A6BA-4823336B7BDC} URL = http://www.idg.pl?q={searchTerms} Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Task: {377B90E7-6344-468B-8F27-12C3F048B769} - System32\Tasks\{7690B874-BE3B-45E4-99D9-72C3305ECCE2} => pcalua.exe -a F:\Pobrane\vs_emulator.exe -d F:\Pobrane Task: {3875E1E4-D95A-4459-B84E-D87D450970DB} - System32\Tasks\{439BB14A-606C-4365-8AE0-389AA3FB6D31} => pcalua.exe -a F:\Pobrane\vcredist_x86.exe -d F:\Pobrane Task: {42C679AC-B28D-472C-94E4-BE7E13EAFCA1} - System32\Tasks\{AE083B0E-FFB3-4BF8-8696-2E95D34F580A} => pcalua.exe -a D:\INTRO.EXE -d D:\ Task: {94ED230D-D5BA-4F8A-9DB6-784F3829CBBE} - System32\Tasks\{5C03ABBF-F447-422F-876B-DC148093E72E} => pcalua.exe -a C:\Users\Marcinek\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\Marcinek\Downloads Task: {CF48426F-89A1-4219-ABCA-E6E44DEA22CC} - System32\Tasks\{2C5899DB-3837-4D8C-879F-B2146BE5B165} => pcalua.exe -a F:\Pobrane\Shockwave_Installer_Slim(1).exe -d F:\Pobrane Task: {D4714768-458E-4E29-9499-8416AD240800} - System32\Tasks\{65817472-C58A-4B7B-AC18-B7CB65038F47} => D:\INSTALUJ.EXE Task: {F0E8FBEB-4AD5-4363-9FBE-E6B548D4A1EE} - System32\Tasks\{D35874CC-F5A9-4B52-8C42-03F881AE39B2} => pcalua.exe -a F:\Pobrane\vcredist_x64.exe -d F:\Pobrane Task: {F3DD4DCB-8114-42AC-8470-451525B808F0} - System32\Tasks\{38009BCC-CDB3-4F39-AA17-AD56CF749B39} => D:\INSTALUJ.EXE HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Classes\.exe: exefile => S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151232 2013-12-02] (IObit) S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\IObit C:\ProgramData\nvxasync C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\Users\Marcinek\AppData\Roaming\Mozilla\Firefox\Profiles\d7zv33sz.default\searchplugins\starter.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I mam pytanie: czy modyfikacje stron startowych / nowych kart Firefox i Google Chrome na onet.pl to celowe ustawienie? Coś za dużo tych modyfikacji Onet, ale na razie ruszyłam tylko ustawienia IE sprowadzając do domyślnych systemu. Odnośnik do komentarza
marcinekw Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Dodaje wygenerowane w nocy logi OTL i GMER (przepraszam że nie dołączyłem ich wcześniej) - logi te zostały wygenerowane po odłączeniu daemon'a i wirtualnego dysku. Jeszcze nie została przeprowadzona operacja z fixlist.txt dopiero około 17 będę w domu. ps. onet byl domyslna stroną startową Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Wcześniej podane zalecenia pozostają bez zmian. Ewentualne drobnostki już będą w drugiej rundzie. ps. onet byl domyslna stroną startową Moim pytaniem było czy samodzielnie to ustawiałeś, bo to nie jest domyślne ustawienie żadnej z przeglądarek. Odnośnik do komentarza
marcinekw Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 tak to bylo moje ustawienie. ps. zapomnialem dodać w pierwszym wątku że mam także problem z uruchomieniem menadzera zadan i regedit (od razu się wyłączają). Takze wiele stron jak chce uruchomić wyłącza przegladarke Odnośnik do komentarza
marcinekw Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 cholerka nie mam tego deinstalatora spyhunter4. ani w menu start ani w katalogu z programem jak to teraz wywalić ? Odnośnik do komentarza
marcinekw Opublikowano 16 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Pierwszy krok zrobiony (tylko został ten Spyhunter). Stronki już działają ok, menadzer zadan i regedit włączają się i tu jest ok. Jeszczce jak wchodze w liste wyszukiwarek do wyboru w firefox nadal mam na liscie surfvox'a. Załączam nowe pliki: Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 cholerka nie mam tego deinstalatora spyhunter4. ani w menu start ani w katalogu z programem Wg raportu FRST Shortcut jest deinstalator: ShortcutWithArgument: C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marcinek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh Jeszczce jak wchodze w liste wyszukiwarek do wyboru w firefox nadal mam na liscie surfvox'a. W poprzednim logu nie było modyfikacji Surfvox w Firefox widocznej, teraz już jest. Poprawki: 1. Uruchom plik C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Firebug, Garmin Communicator, Web Developer) trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
marcinekw Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Przesyłam nowy log z FRST FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Wszystko zrobione. Ostatni skrypt - otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcinek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
marcinekw Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Przesyłam nowy fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Kończymy. Skasuj pobrane narzędzia z F:\new. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj wtyczki Adobe Flash: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla FF Odnośnik do komentarza
marcinekw Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 wielkie dzieki nie wiem co bym bez Ciebie zrobił pozdrawiam Odnośnik do komentarza
marcinekw Opublikowano 13 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2015 Witam.Dziś ponownie pojawił się problem surfvox'a. Ustawił się jako wyszukiwarka oraz strona domowa w chromie, ff i ie. Nie wiem jak mam się tego pozbyć. Już nawet nie próbowałem adwcleaner bo to i tak nic nie da, tak jak ostatnio. W załącznikach logi z FRST, OTL i GMER. Parę godzin wcześniej pojawiło się ostrzeżenie Avasta przy jednym pliku ale nie jestem pewien czy to może być to. Tak na przyszłość czy można się przed tym jakoś zabezpieczyć? pozdrawiam Marcin Shortcut.txt OTL.Txt FRST.txt Addition.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 OTL nie jest już wymaganym raportem - wczoraj zostały zaktualizowane zasady działu. Oba tematy sklejam razem. Problem Surfvox został poprzednio rozwiązany. Skoro wrócił, to prawdopodobnie pobrałeś coś co go uruchamia. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 Task: {302F5EA3-1B20-446E-B433-8C2B4CDE2257} - System32\Tasks\{DBDD05BB-8B6B-480C-94E6-9E36F5085CA4} => pcalua.exe -a C:\Windows\unvise32.exe -d C:\Windows -c C:\PROGRA~2\TRAPCO~1.LOG C:\END C:\ProgramData\nvxasync C:\ProgramData\RWBYTE C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync C:\Users\Marcinek\AppData\Roaming\mozilla\firefox\profiles\d7zv33sz.default C:\Users\Marcinek\AppData\Local\Google\Chrome\User Data\Default\Preferences Folder: C:\Users\Marcinek\Documents\Diablo III Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
marcinekw Opublikowano 14 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Zrobione. Poniżej nowe pliki FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Czy nie przypominasz sobie co robiłeś tuż przed ponownym pojawieniem się Surfvox - odwiedzenie określonej strony, pobranie i uruchomienie czegoś konkretnego? Tak jak poprzednio wszystko zostało pomyślnie usunięte. 1. Usuń pobrany FRST z H:\x. Następnie zastosuj DelFix. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport, o ile coś zostanie wykryte. Odnośnik do komentarza
marcinekw Opublikowano 15 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Oprócz jednej strony nie było nic nowego... brat używał wtedy kompa i chciał jakiegoś cracka czy coś... i wtedy odezwał się avast no ale żadnej akcji nie było więc jeśli chodzi o przeglądanie stron to tylko o to mogę podejrzewać że to stamtąd. Surfvox pojawił się u mnie od razu na chrome której brat używał, ja miałem w tym czasie firefoxa i tam tego nie było aż do resetu. Dołączam plik z mawarebytes malwarebyted.txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2015 Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Historia z "crackiem" wydaje się najbardziej podejrzana. Jeśli chodzi o wyniki MBAM, to wszystko do usunięcia. Czy już to zrobiłeś za pomocą programu? Odnośnik do komentarza
marcinekw Opublikowano 15 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2015 Tak udalo sie to usunac w programie. Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Temat rozwiązany. Zamykam. Jeśli pojawią się jakieś problemy, załóż nowy temat. Odnośnik do komentarza
Rekomendowane odpowiedzi