goldi91 Opublikowano 17 Lutego 2015 Zgłoś Udostępnij Opublikowano 17 Lutego 2015 Witam, od 3 dni podczas włączania przeglądarki google chrome moją stroną startową jest strona key-find.com. Dodatkowo podczas przeglądania stron internetowych, na dole przeglądarki wyskakują oferty reklamowe, które nigdy wcześniej się nie pojawiały. Wydaje mi się, że mogło to być przyczyną zainstalowania Alcohol120% i przez przypadek "nieodptaszkowania" opcji odpowiadającej za wgranie na system szkodliwych plików :/ W załącznikach podaje potrzebne logi i proszę o sprawdzenie stanu mojego komputera.Pozdrawiam Addition.txt GMER.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 Istotnie, kluczowe były instalacje programów emulujących Alcohol / AstroBurn / DAEMON, z tym że uruchamiałeś "downloader" a nie docelowy właściwy instalator i stąd ogromne śmietnisko. Oryginalne instalatory również serwują śmieci (i np. wg raportu wślizgnęły się pewne dodatki), ale to inna sprawa. 2015-02-14 16:35 - 2015-02-14 16:35 - 00799744 _____ (Software ) C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe Przeprowadź następujące działania: 1. Z Alcoholem zainstalował się także zbędny Smart File Advisor 1.1.7. Odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw; C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys [43152 2015-02-14] (StdLib) R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-14] (SysTool PasSame LIMITED) S2 Update Clock Hand; "C:\Program Files\Clock Hand\updateClockHand.exe" [X] CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT" CHR DefaultSearchKeyword: Default -> key-find HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} BHO: Positive Finds -> {30c85a3d-1d96-4589-b63f-91fb7ef45a41} -> C:\Program Files\Positive Finds\Extensions\30c85a3d-1d96-4589-b63f-91fb7ef45a41.dll No File BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) Task: {E3800761-2128-4596-A5EF-4A6B65A8227E} - System32\Tasks\{E8C1FC11-4F63-412D-B6EB-60E47179B297} => pcalua.exe -a "D:\gry instalki\Sims.3.Razor1911.PL\Sims3_1.8.25.003002_from_1.0.631.00002.exe" -d "D:\gry instalki\Sims.3.Razor1911.PL" C:\Program Files\Alcohol Soft C:\Program Files\Clock Hand C:\Program Files\XTab C:\ProgramData\{*}.log C:\ProgramData\Arcade Lab C:\ProgramData\Astroburn Lite C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Roaming\OpenCandy C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk C:\Users\samsung\Desktop\Infa LAB\Infa LAB\Access\offline\htm\Notatnik.lnk C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe C:\Users\Public\Documents\DAEMON Tools Images C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy key-find oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
goldi91 Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Ok, zrobiłem wszystko według zaleceń, przesyłam logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Wszystko zrobione. Jeszcze uwaga: ten Alcohol FE ma na trwałe zintegrowanego śmiecia Smart File Advisor - nie da się opuścić jego instalacji ze względu na zszarzenie opcji, ten śmieć się jednak nie zainstaluje, jeśli podczas instalacji Alcohola zostanie odcięte połączenie sieciowe. Poprawki: 1. Czy na pewno odinstalowałeś Smart File Advisor (tak, jego deinstalacja usuwa też Alcohol)? Widzę jego folder na dysku. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
goldi91 Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Dokonałem deinstalacji smart file advisor, więc nie wiem czemu nadal jest jakiś folder od tego. W załączniku logi z adwcleaner AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Poprawki: 1. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Smart File Advisor Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Odnośnik do komentarza
goldi91 Opublikowano 26 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Załączam logi Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 Fix pomyślnie wykonany. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware (odznacz trial przy instalacji). Jeśli cokolwiek wykryje, dostarcz raport wynikowy. Odnośnik do komentarza
goldi91 Opublikowano 27 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2015 Wszystko w porządku. Temat do zamknięcia, dzięki za pomoc Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2015 Zgłoś Udostępnij Opublikowano 27 Lutego 2015 Skasuj pobrany FRST z folderu "naprawa systemu". Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się