sebulek Opublikowano 10 Stycznia 2015 Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Dzisiaj potrzeba mi było stworzyć obraz płyty, więc odpaliłem daemon toolsa, ale że było info o aktualizacji, to zaktualizowałem. Po aktualizacji program nie dał się w ogóle uruchomić, więc usunąłem, ale najpierw musiałem uruchamiać system w trybie minimalnym (bez tych wszystkich usług), bo coś mu tam nie pasowało i nie dało się tak po prostu usunąć. Po usunięciu pobrałem program ze strony i zainstalowałem, zazwyczaj zwracam uwagę na to, czy nie próbuje mi instalować jakiegoś syfu, ale teraz jakoś tak chyba byłem za bardzo rozkojarzony i wgrała mi się jakaś wyszukiwarka mystartsearch. Chcąc szybko pozbyć się tej wyszukiwarki użyłem AdwCleaner, ale chyba nie poradził sobie ze wszystkim, bo teraz antywirus wywala mi co jakiś czas komunikat o pliku "appdata/local/installer/installsense_30162/ins_postinst.exe" (nie wiem czy zawsze są te same cyferki, nie zwróciłem uwagi). @edit Cyferki w nazwie tego folderu "installsense_*" się zmieniają. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
sebulek Opublikowano 11 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2015 Dzisiaj zauważyłem odpalanie się procesu na laptopie, który występował podwójnie i zabierał po 25% zasobów procesora, czyli razem 50%. Gdyby nie głośniejsze chodzenie lapka, to pewnie nawet bym tego nie zauważył. Jak znowu pojawią się te procesy, to podam ich nazwy. @edit Odnośnie tego samoistnie uruchamiającego się procesu: AppData\Local\Installer\Installsense_*\ins_postInst.exe czyli to samo co wcześniej blokował antywirus. Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 W systemie pozostały dwa zadania inicjowane via Harmonogram, uruchamiające procesy z katalogu "Installer" - te zadania mają na celu zrekonstruować usunięte adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {41424876-B55F-41C3-AC12-DAB5F7D5186A} - System32\Tasks\Installer_iwebar => C:\Users\Sebastian\AppData\Local\Installer\Installiwebar_30162\ins_postInst.exe [2015-01-10] () Task: {D0D69888-BD39-4CE4-B4CA-F6D9ED11375B} - System32\Tasks\Installer_sense => C:\Users\Sebastian\AppData\Local\Installer\Installsense_30162\ins_postInst.exe [2015-01-10] () Task: {1890BEF1-3880-49F3-99CF-3731994B03DD} - System32\Tasks\{DF53375D-67CB-4C6E-B73C-278264DCD672} => Firefox.exe http://ui.skype.com/ui/0/6.9.59.106/pl/abandoninstall?page=tsBing CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX" CHR DefaultSearchKeyword: Default -> mystartsearch FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\k446gb9g.default\extensions\fftoolbar2014@etech.com FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2966516881-2113031637-2349138176-1000 -> {976C8D33-F7B8-11E3-BBF0-080027009C5E} URL = http://searchinfinitas.com/?affilt=4&q={searchTerms}&id={22EB8586-C3D9-49D1-B940-7FBD249B6E56} SearchScopes: HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Users\Sebastian\AppData\Local\CrashRpt C:\Users\Sebastian\AppData\Local\Installer Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsMangerProtect" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile będzie widoczny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co on robił wcześniej). Odnośnik do komentarza
sebulek Opublikowano 13 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Stycznia 2015 Zrobione. Fixlog.txt FRST.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Wszystko zrobione. Kończymy: 1. Odinstaluj stare wersje Adobe i Java: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) Java SE Development Kit 7 Update 45 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) Java SE Development Kit 7 Update 45 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) 2. Usuń używane narzędzie z folderu C:\scan. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
sebulek Opublikowano 14 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Java usunięta i zainstalowane nowe wersje, ale nie mam pojęcia skąd ten "Adobe Flash Player 15 ActiveX", bo nigdzie nie widzę ani tej wersji flasha, ani jakiejkolwiek możliwości odinstalowania. Ogólnie mam jeszcze jeden problem, nie wiem czy na pewno jest on związany z tym syfem, ale stało się to zaraz po tym, więc może jakiś związek jest. Chodzi o to, że jakoś po tym jak ten syf wgrał mi się na laptopa, to nie odpalił się program/sterownik od touchpada, który przydaje mi się przedewszystkim wtedy, gdy mam podpiętą myszkę, bo wtedy wyłącza touchpada. Skoro się nie odpalił, to najpierw zrestartowałem komputer, ale to nic nie dało, więc odinstalowałem program i chciałem go zainstalować jeszcze raz (link -> http://download.msi.com/nb_drivers/tp/touchpad_stl_8.8.8.6_w700.zip), ale niestety zaraz po odpaleniu instalatora wywala ekran z informacją, że instalacja nie powiodła się. Co tutaj może być nie tak? Odnośnik do komentarza
sebulek Opublikowano 16 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2015 To co z tym adobe? Nie widzę go w takiej wersji w programach, nie widzę go jako jakiejś wtyczki dla ie, więc gdzie to może być? A ze sterownikami dalej nie wiem co się dzieje, nie mogę ich zainstalować. Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2015 Zgłoś Udostępnij Opublikowano 1 Lutego 2015 Java usunięta i zainstalowane nowe wersje, ale nie mam pojęcia skąd ten "Adobe Flash Player 15 ActiveX", bo nigdzie nie widzę ani tej wersji flasha, ani jakiejkolwiek możliwości odinstalowania. Skoro nie widzisz tej pozycji, to być może już jej po prostu nie ma. Mogło się tak stać, jeśli coś robiłeś w zakresie instalacji Adobe np. uruchamiając instalator. Ogólnie mam jeszcze jeden problem, nie wiem czy na pewno jest on związany z tym syfem, ale stało się to zaraz po tym, więc może jakiś związek jest. Chodzi o to, że jakoś po tym jak ten syf wgrał mi się na laptopa, to nie odpalił się program/sterownik od touchpada, który przydaje mi się przedewszystkim wtedy, gdy mam podpiętą myszkę, bo wtedy wyłącza touchpada. Skoro się nie odpalił, to najpierw zrestartowałem komputer, ale to nic nie dało, więc odinstalowałem program i chciałem go zainstalować jeszcze raz (link -> http://download.msi.com/nb_drivers/tp/touchpad_stl_8.8.8.6_w700.zip ale niestety zaraz po odpaleniu instalatora wywala ekran z informacją, że instalacja nie powiodła się. Co tutaj może być nie tak? Wątpię, by to było powiązane z adware, inny poziom modyfikacji. Jak rozumiem odinstalowałeś poniższe oprogramowanie, gdyż nic innego z listy Addition nie pasuje do tematu "touchpad". Finger Sensing Pad Driver (HKLM\...\{E86906FF-C63D-4EAF-ACE7-5F8D55FBEA9A}) (Version: 8.8.8.6 - Sentelic) Owszem, widzę różnicę między pierwszym a drugim głównym raportem FRST, tzn. w międzyczasie zniknął wpis startowy "fspuip". Nie wiadomo skąd ten zanik, ponieważ nic nie było usuwane z tego zakresu jawnie. Nie trzeba było deinstalować oprogramowania (sterownik "fspad_win764" był ciągle na miejscu), tylko należało przywrócić wpis startowy. HKLM\...\Run: [fspuip] => C:\Program Files\FSP\fspuip.exe [5803520 2012-09-07] (Sentelic Corporation) Jeli chodzi o link do pobierania softu, to w jaki sposób został wytypowany i z jakim modelem laptopa mamy tu do czynienia? Odnośnik do komentarza
Rekomendowane odpowiedzi