burratos Opublikowano 8 Lutego 2015 Zgłoś Udostępnij Opublikowano 8 Lutego 2015 Witam. Mam problem z aplikacją Search protect, nie moge jej usunąc, pokazuje mi ją w pasku aktywnich aplikacji. Wydaje mi się że mam na dysku jeszcze pare innych insektów. Dodaje logi z otl. Proszę o pomoc. Pozdrawiam. Przepraszam. Nie wiedziałem o zmianie zasad. Dodaje brakujące logi Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2015 Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Logi dodane, posty dla porządku sklejam, załączniki OTL usuwam. Oczywiście odpowiadasz mi już w nowym poście. Jest tu znacznie więcej obiektów adware niż wspominasz. Metody nabycia śmieci: KLIK. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: GoForFiles, OffersWizard Network System Driver, Rich Media View, Software Version Updater, VVaUUdix, Yandex.Traffic, youtubeadblocker. - Stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Akamai NetSession Interface, AVG 2012, AVG Web TuneUp, EXPERTool 7.6, Java 7 Update 60. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi, kontynuuj. Na razie nic nie instaluj, najnowszą wersję antywirusa wstawisz na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-16] (Fuyu LIMITED) [File not signed] S2 NetHttpService; C:\Windows\SysWOW64\nethtsrv.exe [X] S2 ServiceUpdater; C:\Windows\SysWOW64\netupdsrv.exe [X] S2 TBPanel; No ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S1 iSafeNetFilter; \??\C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] Task: {1907D87C-BC71-4D1E-B4ED-6BF830D08B16} - System32\Tasks\{BDC2D8D5-810C-4A6D-A1EE-6EE6DADD6AE1} => E:\GTAIV_Patch_V2.exe Task: {497C164B-121B-43F0-98BB-C0E4D95C0EBB} - System32\Tasks\{C8626B99-FC13-4F31-92F4-A57D7AE241C9} => pcalua.exe -a D:\Programy\mp3DC220_www.INSTALKI.pl.exe -d D:\Programy Task: {4D00F012-78DA-4B49-A58F-7F0D4FAF0A8F} - System32\Tasks\AmiUpdXp => C:\Users\Tomek\AppData\Local\7310\a15287.exe Task: {7433A507-37AD-44D0-B78A-3781A8FC4FD5} - System32\Tasks\{AF4A419C-F637-4CE8-9F58-F06E8BA3126B} => pcalua.exe -a "E:\Instal\GTA 4 EfLC\gta4_eflc_spolszczenie(www.ironsquad.pl).exe" -d "E:\Instal\GTA 4 EfLC" Task: {F24C54B6-8057-4945-9213-24E1420B8AD9} - System32\Tasks\{DC55E531-AC04-4C80-AE39-D83A8BD1AE7C} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=exp Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Tomek\AppData\Local\7310\a15287.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [ASRockOCTuner] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [zASRockInstantBoot] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [RGSC] => E:\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Tomek\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={9D5F4F82-8B23-42B8-ACE6-61E59C3AD5E8}&mid=70881a8c5dfc47d39fe86d16b234493f-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 11:58:11&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: youtubeadblocker -> {52a5d084-65f1-4902-9ae8-5fd4646bb132} -> C:\Program Files (x86)\youtubeadblocker\ul50tWOZZxYWeM.x64.dll () BHO: VVaUUdix -> {915b1d5f-504a-4856-99b6-40a0d063bc3e} -> C:\Program Files (x86)\VVaUUdix\QDLuwXOmL95Dnz.x64.dll () BHO-x32: Media Buzz -> {06fa1323-e27c-46c2-9b4e-c1f4e035242d} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ie\MediaBuzzV1mode2767.dll ()\ BHO-x32: Rich Media View -> {bf22bdc1-e4dc-47d4-8159-dd7bb6d11d5c} -> C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ie\RichMediaViewV1release881.dll () FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [{1E73965B-8B48-48be-9C8D-68B920ABC1C4}] - C:\Program Files (x86)\AVG\AVG2012\Firefox4 FF HKLM-x32\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Program Files (x86)\AVG\AVG2012\Firefox\DoNotTrack FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode2767.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ff FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release881.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ff FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\nnxc2hsn.default-1413221507592\extensions\faststartff@gmail.com C:\Program Files (x86)\Google C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\STab C:\Program Files (x86)\VVaUUdix C:\Program Files (x86)\Yandex.Traffic C:\Program Files (x86)\youtubeadblocker C:\ProgramData\{c457b742-fa38-e47d-c457-7b742fa3dd0b} C:\ProgramData\7791935601182018279 C:\ProgramData\APN C:\ProgramData\Google C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\GoForFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa C:\Users\Tomek\AppData\Local\TempjP1704.html C:\Users\Tomek\AppData\Local\TempXy1704.html C:\Users\Tomek\AppData\Local\user_data.ini C:\Users\Tomek\AppData\Local\7310 C:\Users\Tomek\AppData\Local\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Battlefield Play4Free trzeba będzie przeinstalować. 4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
burratos Opublikowano 9 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Wszystko zrobione zgodnie z instrukcją. Dodaje logi. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2015 Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\Program Files (x86)\AVG C:\Program Files (x86)\MediaPlayerV1 C:\Program Files (x86)\MediaViewerV1 C:\Program Files (x86)\MediaViewV1 C:\Program Files (x86)\MediaWatchV1 C:\Program Files (x86)\Temp C:\Program Files (x86)\VVaudix C:\ProgramData\AVG Security Toolbar C:\ProgramData\Avg_Update_1214tb C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\IHProtectUpDate C:\ProgramData\Logs C:\ProgramData\LogSys C:\ProgramData\MFAData C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Orbit C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\CrashRpt C:\Users\Tomek\AppData\Local\id Software C:\Users\Tomek\AppData\Local\Lollipop C:\Users\Tomek\AppData\Local\NPE C:\Users\Tomek\AppData\Local\OpenFM C:\Users\Tomek\AppData\Local\SwvUpdater C:\Users\Tomek\AppData\LocalLow\id Software C:\Users\Tomek\AppData\LocalLow\Sun C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\GoforFiles C:\Users\Tomek\AppData\Roaming\iSafe C:\Users\Tomek\AppData\Roaming\LogSys C:\Users\Tomek\AppData\Roaming\OpenFM C:\Users\Tomek\AppData\Roaming\Oracle C:\Users\Tomek\AppData\Roaming\TuneUp Software C:\Windows\system32\Drivers\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
burratos Opublikowano 9 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Zrobione. Wszystko w załączniku, a jak z antywirusem, kiedy można? Fixlog.txt AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2015 Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Spokojnie, antywirusa przywrócisz, gdy zakończymy czyszczenie. Na razie do wykonania: 1. Uruchom AdwCleaner ponownie, tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy działanie: 2. Otwórz Notatnik i wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\log RemoveDirectory: C:\Windows\SysWOW64\Drivers\AVG Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
burratos Opublikowano 9 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Zrobione Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2015 Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Fix wykonany, kończymy: 1. Usuń pobrany FRST z C:\Users\Tomek\Downloads\Nowy folder (2). 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, jest tu łysy Windows 7, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) 4. Na koniec zainstaluj najnowszą wersję AVG 2015. Przy instalacji pomiń AVG Web TuneUp. Instalacja antywirusa podana jako krok ostatni, by antywirus nie przeszkadzał aktualizacjom Windows, których tu będzie ogromna ilość do uzupełnienia. Odnośnik do komentarza
burratos Opublikowano 9 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Dziękuje, stawiam piwo Odnośnik do komentarza
Rekomendowane odpowiedzi