marzar Opublikowano 16 Grudnia 2014 Zgłoś Udostępnij Opublikowano 16 Grudnia 2014 Witam 1. system win 8.1 64bit 2. Po otwarciu obojętnie jakiej przeglądarki następuje próba przekierowania na strony z reklamami, skutecznie blokowana przez program antywirusowy avast. 3. Gmer zawieszał komputer w w normalnym trybie. W trybie awaryjnym można go było uruchomić ale nie przechodził do końca nawet preskanu. pojawiał sie omunikat: "C:\windows\system32\config\system; Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces "C:\users\user\ntuser.dat Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces 4. logi Z góry dziękuję za udzieloną pomoc. Addition.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Są tu instalacje adware, ponadto adware przekonwertowało przelądarkę Google Chrome z wersji stabilnej do development i wymagana kompleksowa reinstalacja. Adware nabyte na jeden z tych sposobów: KLIK. Do wdrożenia: 1. Przez Panel sterowania odinstaluj: DealsGiant, GoldenCoupon, Google Chrome. Przy deinstalacji Google zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib) R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib) R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib) R1 {c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64; C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys [48784 2014-11-29] (StdLib) R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib) R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-11-30] (StdLib) R2 f64035c2; c:\Program Files (x86)\CouponFinder\SaleRadar.dll [4052480 2014-11-30] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.x64.dll () BHO-x32: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.dll () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKU\S-1-5-21-3367409587-261043490-430672160-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220141201 SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> DefaultScope {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-3367409587-261043490-430672160-1001\...\MountPoints2: {a7ab58ed-2224-11e4-be82-c0143dd45d14} - "F:\Startme.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\CouponFinder C:\ProgramData\661597706728995119 C:\ProgramData\92e779be5cb792f C:\ProgramData\GoldenCoupon C:\ProgramData\shoupNNdrop C:\ProgramData\McAfee C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\User\Documents\Optimizer Pro C:\Users\User\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
marzar Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 1. Zrobione 2. Zrobione 3. Logi Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\3150018638 Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj, pokaż wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
marzar Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 1. to mam zrobić tak jak poprzednio jako fix do FRST ? Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Tak, oczywiście. Jakoś zapomniałam dopisać co należy. Już poprawione. Odnośnik do komentarza
marzar Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 1. Zrobione 2. Zrobione Logi Fixlog.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Nie wiem dlaczego komendy FRST nie pobierają danych ze ścieżek Opery, jedna z nich jest definitywnie w systemie. A wyniki AdwCleaner tyczące Opery to nie wyglądają na rzeczywiste (pobór czarnej listy Opera zamiast rzeczywiście zainstalowanych rozszerzeń). Wstępnie: 1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Opera odznacz wszystko, następnie wybierz Usuń. 2. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable" CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
marzar Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Może powodem takiego zachowania FRST jest to, że miałem cały czas załączoną operę, jak wykonywałem poprzednie czynności? Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Nie wiem, ale nie jest to wykluczone (próba otworzenia pliku Preferences, który jest w użyciu). Na wszelki wypadek zamknij Operę na czas wykonywania skryptu. Odnośnik do komentarza
marzar Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Teraz zrobiłem wszystko przy wyłączonej Operze 1. W zakładkach nie było zakładki Opera więc nic nie mogłem odznaczyć, resztę zgodnie z zaleceniem usunąłem 2. Zrobione 3 Logi, na wszelki wypadek daje też logi z AdwCleanera Fixlog.txtPobieranie informacji ... AdwCleanerR1.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Rzeczywiście, nie ma karty Opera. Skoro więc nie było wykluczeń, AdwCleaner broił w preferencjach Opery. Ale nie wygląda na to, by coś się tu stało, gdyż FRST wydrukował zawartość Preferences i wygląda ona prawidłowo. Adware w Operze też nie widać. Kończymy: Usuń używane skanery z C:\Users\User\Desktop\naprawa. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
marzar Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 1. Skanery usunięte 2. Delfix zastosowany - log poniżej 3. punkty przywracania systemu - usunięte DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi