endrjukce Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Witam, Moja dziewczyna ma mocno pozawiruszany komputer. 1. W przeglądarce bardzo często włączają się inne strony z jakimiś reklamami zamiast strony, którą się wpiszę w adres. 2. Avast bardzo często zgłasza zagrożenia. 3. Mocne spowolnienie komputera. W załączeniu logi Pozdrawiam, Andrzej Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Mnóstwo obiektów adware (Omiga, SecretSauce, TornTV, protektory ustawień...), niektóre to stare nabytki. Układ wygląda jakby nastąpiły niepoprawne deinstalacje w przeszłości. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja przeglądarki. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware IB Updater 2.0.0.574, Incredibar Toolbar on IE oraz nieszczęsne Google Chrome. Podczas deinstalacji Chrome zaznacz Usuń także dane przeglądarki - resztę doczyści mój skrypt poniżej. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.3, Java 6 Update 18 (64-bit), Java 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}w64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys [44736 2014-09-17] (StdLib) R1 {352d129e-e588-40fa-9038-31a1fb6f0382}w64; C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys [48784 2014-11-28] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61072 2014-07-30] (StdLib) R1 {84f71dda-7f74-46a2-afdb-c945e69c0195}w64; C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys [48784 2014-11-29] (StdLib) R1 {d6059be8-658c-492d-9d69-8d9d3e79bd94}w64; C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys [48784 2014-11-27] (StdLib) R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 trntv; C:\Users\kamila\AppData\Roaming\TornTV.com\TornTVSvc.exe [19456 2014-11-18] (Cool Mirage) [File not signed] R2 Update SecretSauce; C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe [668912 2015-01-30] () R2 Util SecretSauce; C:\Program Files (x86)\SecretSauce\bin\utilSecretSauce.exe [668912 2015-01-30] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-21] (Fuyu LIMITED) [File not signed] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omigaweb/?type=dspp&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {4F418588-A1F5-44E3-88F5-52069FEA48D3} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=463 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8LWvXlwE&i=26 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO: QuueeNCouipon -> {31774e43-6993-4aa2-91f4-66989fc74424} -> C:\ProgramData\QuueeNCouipon\cbEONXJBpOtUHj.x64.dll () BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO: BetterPRiceChec -> {694b827a-e406-4638-86d9-c708ea6d31d8} -> C:\ProgramData\BetterPRiceChec\JUa5fjAJzB0tph.x64.dll () BHO: LuckyCoaupon -> {f53af872-162d-4957-97d6-32daf1dc8a18} -> C:\ProgramData\LuckyCoaupon\lIrn8of3G0mPdU.x64.dll () BHO-x32: SecretSauce 1.0.0.7 -> {0ffd0ef2-dbe9-483a-80c4-d2c331da1ce4} -> C:\Program Files (x86)\SecretSauce\SecretSauceBHO.dll (SecretSauce) BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll No File BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files (x86)\eMPendium\eMPendiumHandler.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" C:\Program Files\IB Updater C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\STab C:\ProgramData\1078601655 C:\ProgramData\BetterPRiceChec C:\ProgramData\LuckyCoaupon C:\ProgramData\QuueeNCouipon C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\kamila\AppData\Local\Google\Chrome C:\Users\kamila\AppData\Local\Mozilla C:\Users\kamila\AppData\Local\Pay-By-Ads C:\Users\kamila\AppData\Roaming\Mozilla C:\Users\kamila\AppData\Roaming\TornTV.com C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\kamila\Desktop\dokumenty\DRUKI Gofin.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kamila\AppData\Local CMD: dir /a C:\Users\kamila\AppData\LocalLow CMD: dir /a C:\Users\kamila\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
endrjukce Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Wykonałem wszystko, wygląda dużo lepiej Jeśli jeszcze się da jakoś usprawnić działanie komputera proszę o informację. Logi w załączeniu. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Poprawki pod kątem szczątków adware i odinstalowanych aplikacji: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\ipla C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\smartdl C:\Program Files (x86)\SubEdit-Player C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\7ed2981b-e8b2-4b44-8eca-c85b04d13119 C:\ProgramData\abdf0a2942257a10 C:\ProgramData\Adobe C:\ProgramData\Evernote C:\ProgramData\IHProtectUpDate C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Partner C:\ProgramData\Premium C:\ProgramData\Sun C:\ProgramData\Uninstall C:\Users\kamila\AppData\Local\Adobe C:\Users\kamila\AppData\Local\ALLPlayer C:\Users\kamila\AppData\Local\ChomikBox C:\Users\kamila\AppData\Local\Medycyna_Praktyczna C:\Users\kamila\AppData\Local\Opera Software C:\Users\kamila\AppData\LocalLow\Adobe C:\Users\kamila\AppData\LocalLow\Sun C:\Users\kamila\AppData\LocalLow\Temp C:\Users\kamila\AppData\Roaming\Adobe C:\Users\kamila\AppData\Roaming\Auslogics C:\Users\kamila\AppData\Roaming\EurekaLog C:\Users\kamila\AppData\Roaming\GofinDruki C:\Users\kamila\AppData\Roaming\ipla C:\Users\kamila\AppData\Roaming\Opera Software C:\Users\kamila\AppData\Roaming\Systweak C:\Users\kamila\AppData\Roaming\TP Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i pokaż wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
endrjukce Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Logi w załączniku Fixlog.txt AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj opcje Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\kamila\Downloads\q524071z.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Czy są jeszcze jakieś problemy? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się