kometax Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Jak w temacie. Mój pc podłapał ostatnio jakieś draństwo i ni stąd ni zowąd wyskakują mi niechciane karty i reklamy, praca maszyny jest również spowolniona. Wyłapane przeze mnie nazwy to: delta holmes i Digihelp. Załączam zestaw logów. FRST.txt Addition.txt OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Domyślną przeglądarką jest tu Opera: Internet Explorer Version 9 (Default browser: Opera) Niestety FRST i OTL nie skanują jej preferencji, więc mimo że widać już liczne adware w raportach, nie mam pełnego obrazu sytuacji (w Operze też mogą być obiekty adware). Muszę pobrać o niej dane ręcznie. Czyli na razie tylko informacje dostarcz, tzn. zamknij przeglądarkę, otwórz Notatnik i wklej w nim: Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
kometax Opublikowano 7 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Fixlog.text w załączniku Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2015 Zgłoś Udostępnij Opublikowano 7 Stycznia 2015 Zapomniałam napisać poprzednio, że zestaw logów jest niekompletny - brakuje trzeciego pliku FRST Shortcut. Jeśli chodzi o pobór danych Opery, FRST nie mógł otworzyć pliku Preferences Opery, ale widać że jedyne rozszerzenie tam zainstalowane to Adblock Plus, za to komenda otwierania Opery jest przejęta przez delta-homes.com. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1fceab11-b7eb-4010-811f-3f56268f9366}t; C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys [55816 2014-12-30] (StdLib) R1 {2b4f8230-394e-4951-9495-bafd44d837da}t; C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys [55816 2014-12-27] (StdLib) R1 {3211ae5b-d056-4176-9f6e-b51496f003f1}t; C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys [55816 2014-12-14] (StdLib) R1 {34cccceb-a541-48ac-a26b-92818f06439d}t; C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys [55816 2015-01-02] (StdLib) R1 {47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t; C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys [55816 2014-12-15] (StdLib) R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}t; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys [55816 2014-12-21] (StdLib) R1 {97daceee-c4d3-4ae1-975b-b77d85ce2d13}t; C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys [55816 2014-12-23] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}t; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys [55816 2014-12-17] (StdLib) R1 {9eaa49e2-6918-49c4-9a04-be590dd80dc6}t; C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys [55816 2015-01-05] (StdLib) R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [529128 2015-01-07] () R2 Util DigiHelp; C:\Program Files\DigiHelp\bin\utilDigiHelp.exe [529128 2015-01-07] () R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [470704 2014-12-17] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {1FDE0B1D-38E5-4E14-BCF0-132E3A8EA860} - System32\Tasks\pricemetertask => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeter.exe Task: {A8BB7BB6-3E16-4072-92A5-93BE64064E8A} - System32\Tasks\pricemeterdownloader => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterd.exe [2014-05-06] (PriceMeter) Task: {C6928140-D30F-470B-8253-D540717E41AB} - System32\Tasks\pricemeterwatcher => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [2014-05-04] (PriceMeter) HKLM\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [PriceMeterW] => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [287232 2014-05-04] (PriceMeter) HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [AdobeBridge] => [X] AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\Program Files\SupTab\SearchProtect32.dll [91248 2014-05-08] (Skytech Co., Ltd.) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={DE289BFE-EFC6-4173-8DB3-5012550C5C4C}&mid=b4acfa79299247d2bc4ed16b53160544-6d6a121b0d2c7c6e45c51db57f8bd774ff757963&lang=en&ds=px011&coid=avgtbdispx&cmpid=&pr=sa&d=2014-06-19 10:56:34&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp) CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-06-07] CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 C:\Program Files\DigiHelp C:\Program Files\SupTab C:\ProgramData\WindowsProtectManger C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\eCyber C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Launcher.exe"" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: AVG SafeGuard toolbar, Price Metér (remove only), qone8 uninstaller, WinZipper. - Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 13 Plugin, Adobe Flash Player 15 Pepper, Adobe Reader X (10.1.0) - Polish 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware DigiHelp, Quick start, Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kometax Opublikowano 8 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Wykonałam powyższe kroki. Logi w załączniku. FRST.txt Fixlog.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {78B8DC29-5BF2-41F5-9C40-5851FB83CC7A} - \pricemetertask No Task File Task: {9F5D033B-2C75-40EE-A5B1-849E2AB6C49D} - \pricemeterwatcher No Task File HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-08] (ALLPlayer ) C:\Program Files\WinZipper C:\ProgramData\Avg_Update_1214tb C:\ProgramData\WindowsMangerProtect C:\Users\Dorota\AppData\Local\PriceMeter EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com Ponownie zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
kometax Opublikowano 12 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 Log z FRST FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Nie podałeś pliku fixlog.txt, który miał wykazać czy zadania się wykonały. A coś tu jednak nie do końca przetworzone. Drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-12] (ALLPlayer ) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się