vqsoft Opublikowano 4 Stycznia 2015 Zgłoś Udostępnij Opublikowano 4 Stycznia 2015 Witam od początku roku małżonka zaczęła zgłaszać problemy z komputerem. Na poczatku były to wg jej wyskakujące "wodotryski" na allegro. Zbagatelizowałem problem.. Dziś jednak miałem okazje pracować na komputerze żony - masakra Każde wejscie w przeglądarke Mozille powoduje uruchomienie się kolejnych okien ze śmieciowymi informacjami.. a to wygrana ,a to reklama itp Jednym słowem na komputerze nie da się pracować. Uprzejmie proszę o pomoc w rozwiązaniu problemu. Pozdrawiam Kuba Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt gmer.txt Odnośnik do komentarza
vqsoft Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Panowie moge liczyć na jakąś ekspertyze ? Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2015 Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 Panowie moge liczyć na jakąś ekspertyze ?To nie takie proste, bo w tym dziale forum pomagać może tylko @Picasso. W oczekiwaniu na Jej pomoc: Odinstaluj: Click Caption 1.10.0.5 (HKLM\...\ClickCaption_1.10.0.5) (Version: 1.10.0.5 - ClickCaption) <==== ATTENTION S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-01] (Fuyu LIMITED) [File not signed] C:\Users\Agnieszka\AppData\Roaming\omiga-plus Tych nie ma na liście Twoich (żony) programów, więc będzie konieczne użycie Adw-Cleaner. Możesz już ściągnąć go >Adw-cleaner ale z użyciem go wstrzymaj się do czasu zalecenia przez @Picasso, ewentualnie zrób tylko z niego log bez usuwania (opcja SZUKAJ) jessi Odnośnik do komentarza
vqsoft Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 spoko poczekam... przyznam się że zanim trafiłem tu na forum to zrobiłem logi przeleciałem wszystko ComboFixem - na razie problemy nie występują... ale czy coś jeszcze nie siedzi ? Pozdrawiam i nie naciskam Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2015 Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 ComboFix to tu nie pomógł, podane logi definitywnie pochodzą z okresu już po jego uruchomieniu, a w systemie nadal jest aktywne adware (prócz tego co powiedziane, także adware "Better Finder" w Firefox). Przyczyna nabycia adware to pobieranie z portali przy użyciu "downloaderów": KLIK. Tu jeden z plików który doprowadził do zagnieżdżenia się większości obiektów: 2015-01-01 16:51 - 2015-01-01 16:51 - 00708320 _____ (komputerswiat.pl) C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5 oraz starą wersję Adobe Flash Player 15 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-01] (Fuyu LIMITED) [File not signed] R3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO.sys [X] R3 catchme; \??\C:\Users\AGNIES~1\AppData\Local\Temp\catchme.sys [X] U3 mbr; \??\C:\ComboFix\mbr.sys [X] Task: {81A20564-DCD9-4860-8CA3-197BD1DD1AD8} - System32\Tasks\Core Temp Autostart Agnieszka => C:\Users\AGNIES~1\AppData\Local\Temp\Rar$EX00.451\Core Temp.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: File Sanitizer for HP ProtectTools -> {3134413B-49B4-425C-98A5-893C1F195601} -> C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll No File FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\Opera C:\ProgramData\WindowsMangerProtect C:\Users\Agnieszka\AppData\Local\Opera Software C:\Users\Agnieszka\AppData\Roaming\Opera Software C:\Users\Agnieszka\AppData\Roaming\omiga-plus C:\Users\Agnieszka\AppData\Roaming\WebTest C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe C:\Users\Agnieszka\Downloads\installspeedfan445_[www.programosy.pl].exe C:\Users\Agnieszka\Downloads\installspeedfan437.exe C:\Users\Agnieszka\Downloads\pobierz-instsf450.exe C:\Users\jape\Desktop\Continue SpeedFan installation.lnk C:\Users\jape\Downloads\*(*)-dp*.exe C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\KACPER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są aż trzy konta: ========================= Accounts: ========================== Agnieszka (S-1-5-21-1399684949-1430651134-2058239177-1004 - Administrator - Enabled) => C:\Users\Agnieszka jape (S-1-5-21-1399684949-1430651134-2058239177-1000 - Administrator - Enabled) => C:\Users\jape KACPER (S-1-5-21-1399684949-1430651134-2058239177-1005 - Limited - Enabled) => C:\Users\KACPER Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym zestaw logów FRST (główny + Addition, ale bez Shortcut). Na koncie limitowanym KACPER uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta). Dołącz też plik fixlog.txt. Odnośnik do komentarza
vqsoft Opublikowano 6 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2015 Dziękuje za pomoc. poniżej logi. Pozdrawiam Addition AGA.txt Addition JAPE.txt Fixlog.txt FRST AGA.txt FRST JAPE.txt Addition Kacper.txt FRST Kacper.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Drobne poprawki: NA KONCIE JAPE: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=153 CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path HKLM\...\Run: [] => [X] HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [DAEMON Tools Pro Agent] => "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [KiesAirMessage] => C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Qoobox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się