nord Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Cześć, podczas uruchamiania przeglądarki chrom pojawia się strona startowa search.yahoo, choć w ustawieniach jest inaczej, również gdy wpiszę coś w pasek to wyszukuje mi w tej przeglądarce. Przeczytałem że chodzi tu o dltr.exe który działał w tle, usunąłem ten program przez dodaj/usuń ale yahoo nie daje za wygraną, dodatkowo pojawiają się jakieś inne aplikacje reklamowe podczas przeglądania stron. Po zainstalowaniu Avasta i zrobieniu skanu systemu wykryło mi parę wirusów: Win32:BrowseFox-DZ/N[PUP]; Android:Mobserv-E[PUP]; Win32:Mobogenie-O/M/N[Adw]; Win32:PUP-gen[PUP]; Win32:Adware-CCC[PUP]; Win64:BrowseFox-A/C[PUP]; Win32:Adware-BYZ[PUP]; Win32:NextLive-A[Adw]; NSIS:NextLive-A[Adw]; Win32:Malware-gen. Łącznie jest tego 61 plików. W folderze "Programy i funkcje" widzę trochę podejrzanych programów, np. Jump flip, Price fountain. Również w folderze "Pobrane" widzę że rok temu pobrane zostało "yet another cleaner", nie jest to mój komputer, nie znam jego całej historii, więc piszę o wszystkim co wydaję mi się podejrzane. Dodaje logi z FRST i Gmer. Z góry dzięki za pomoc. Addition.txt FRST.txt Gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Ten PriceFountain został nabyty z serwisu dobreprogramy.pl podczas pobierania uTorrent, bo na dysku widać plik "Asystenta pobierania" tego serwisu i zaraz po tym pojawienie się adware. Podsuń użytkownikowi komputera do czytania: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: Jump Flip, Mobogenie, PriceFountain (remove only), Skype Packages i Update for PriceFountain. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi. Potem poprawimy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" CHR DefaultSearchKeyword: Default -> yahoo.com CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com CHR HKLM-x32\...\Chrome\Extension: [debmkdhphjfcbaomiknnceliiclnpmfg] - C:\Program Files (x86)\Jump Flip\debmkdhphjfcbaomiknnceliiclnpmfg.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-14] HKU\S-1-5-21-2592862549-595905708-2507062346-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> DefaultScope {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {6197D26D-FF62-4C7C-A531-9902C633C558} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=842 SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Task: {07FAFA7A-AB21-4458-8095-4C55B5DE12CF} - System32\Tasks\Price Fountain => C:\Users\sławek\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-27] () Task: {9714D8FC-B5C8-4725-89C5-10C833CFB9B4} - System32\Tasks\{46511A2A-A716-403F-9DB8-E8131D2B6156} => pcalua.exe -a "C:\Program Files (x86)\3G HSUPA Modem\UNWISE.EXE" -d "C:\Program Files (x86)\3G HSUPA Modem" -c /W6 "C:\Program Files (x86)\3G HSUPA Modem\INSTALL.LOG" Task: {9F17114C-4088-45F0-BA30-78E93B2C6BE8} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: C:\WINDOWS\Tasks\Price Fountain.job => C:\Users\SAWEK~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Jump Flip C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4 C:\ProgramData\APN C:\Users\sławek\AppData\Local\genienext C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Local storage\*localstorage* C:\Users\sławek\AppData\Local\PriceFountain C:\Users\sławek\AppData\Roaming\newnext.me C:\Users\sławek\AppData\Roaming\PriceFountain C:\Users\sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mobogenie.lnk C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Users\sławek\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NextLive /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yahoo! Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Jump Flip, a przy okazji RealDownloader (on jest prawdopodobnie i tak zablokowany przez Chrome). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Yahoo oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
nord Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Wszystkie punkty wykonane, dołączam logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Czy był jakiś problem z deinstalacjami, tzn. czy któreś z wejść było np. niewidoczne? A Fix wykonany pomyślnie. Kolejne poprawki: 1. Pobrany YAC (Yet Another Cleaner) usuń ręcznie, bo jest poza zakresem czasowym raportów. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
nord Opublikowano 6 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2015 Przy usuwaniu Jump flip, Mobogenie i Price fountain wyskoczyła informacja że nie może znaleźć tego pliku i czy mam usunąć z listy. YAC chyba nie jest zainstalowany bo nie mogę go nigdzie znaleźć. AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2015 Zgłoś Udostępnij Opublikowano 6 Lutego 2015 Również w folderze "Pobrane" widzę że rok temu pobrane zostało "yet another cleaner" (...) YAC chyba nie jest zainstalowany bo nie mogę go nigdzie znaleźć. vs. Pobrany YAC (Yet Another Cleaner) usuń ręcznie, bo jest poza zakresem czasowym raportów. 1. Miałeś usunąć plik instalatora z Pobranych. YAC nie występuje na liście zainstalowanych programów. 2. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\sławek\Downloads\krelf1du.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
nord Opublikowano 7 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2015 Wszystkie punkty wykonane, poniżej nowy fixlog. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2015 Zgłoś Udostępnij Opublikowano 7 Lutego 2015 Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zamień stary Adobe Reader X (10.1.3) MUI najnowszą wersją: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się