Noosfe Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 witam, laptop mojej dziewczyny, próbowałem sam to ogarnąć i użyłem do tego SpyHunter4 niby trojana usunęło, przeczyściłem też przeglądarki i przekierowań już nie ma ale dalej jakoś wszystko się muli, w załączniku logi, serdecznie dziękuję za ich przejrzenie i ewentualną pomoc Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 SpyHunter to program-naciągacz z czarnej listy - pojawia się w wysoko pozycjonowanych na Google manipulowanych opisach "usuwania infekcji", byle go zainstalować i natknąć się na "opłaty". A kysz, a kysz! Nie pokazałeś co on rzekomo znalazł. I ten śmieciarski program w ogóle nie rozwiązał problemu - jest nadal duże śmietnisko adware, w tym czynne sterowniki adware. Ten ostatni fakt zapewne ma coś do rzeczy z mozolną poracą systemu i sieci, ale doinstalowany SpyHunter też dołożył cegłę. Do przeprowadzenia następujące operacje: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj adware, wątpliwy skaner, stare wersje i zbędniki: Adobe Reader 9.4.0 - Polish, Akamai NetSession Interface, FoxTab PDF Reader, Gadu-Gadu 10, Java 6 Update 22, Java 6 Update 31, Java 7 Update 4, JavaFX 2.1.0, OpenOffice.org 3.3, SpyHunter 4, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0, YTD Video Downloader 4.3. ----> Jeśli tych dwóch programów typu "Sweet" nie będzie się dało odinstalować, to skorzystaj z tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście SweetIM for Messenger 3.6 + Update Manager for SweetPacks 1.0 > Dalej. ----> Są tu także ślady niepoprawnie odinstalowanego McAfee i w tle chodzi stary McAfee SiteAdvisor. Zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2014-11-30] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib) S1 F06DEFF2-5B9C-490D-910F-35D3A9119622; \??\C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc2.cfg [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1941029217-1621239754-420919328-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {817B9F6D-9CAF-499E-9906-6581FA90C6BB} URL = http://search.babylon.com/?q={searchTerms}&affID=110000&babsrc=SP_ss&mntrId=3c8da18d00000000000074de2bebcc12 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9017BACF-6012-4FBF-B98E-06FF65153EAC} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=349 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {A4D199F8-A5D3-4859-87FE-963C70F4E5FA} URL = http://searchya.com/?chnl=tst-215&s=1&cr=1343013061&cd=2XzutAtN2Y1L1Qzu0D0CtD0E0AtCtA0AtB0A0AyC0AtCzz0DtN0D0TzutBtDtCtBtDyEtDzz&q={searchTerms} Toolbar: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> hxxp://rts.dsrlte.com?affID=na CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_46eb5e1d-f7f2-4562-8d60-f4ff377de045" CHR Extension: (SiteAdvisor) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2012-02-02] CHR Extension: (CinPl2.3c) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\iobcbdgacfkninlcbphihhdlkobkehia [2014-09-03] CHR Extension: (Allin1Convert) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfkanglmmnniiolknlhaajllgmlgcdkj [2014-01-30] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml FF Plugin-x32: @java.com/DTPlugin,version=10.4.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor Task: {0591D8C2-1230-483F-8E07-25282BA9AD9E} - System32\Tasks\{053A3232-8627-4376-9855-ED352F3EEFA2} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?page=tsProgressBar Task: {38A75E1E-1A9D-404A-81BD-8E644A7966CE} - System32\Tasks\{0D06F980-7FB8-4AA8-A50C-FCA657668871} => pcalua.exe -a "C:\Program Files (x86)\PLAY ONLINE\uninst.exe" Task: {67E41725-63D5-4770-A5D8-146A6616813D} - System32\Tasks\DealPly => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Dealply.job => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^ALEKSANDRA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aeria Ignite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ALEKSANDRA\AppData\Local CMD: dir /a C:\Users\ALEKSANDRA\AppData\LocalLow CMD: dir /a C:\Users\ALEKSANDRA\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Allin1Convert, CinPl2.3c, SiteAdvisor i co tam jeszcze podejrzanego widać. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Noosfe Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 jakoś ja nie widzę tego u siebie: Ustawienia > karta Rozszerzenia > odinstaluj Allin1Convert, CinPl2.3c, SiteAdvisor. widze 4 rozszerzenia: Arkusze Google, Dokumenty Google, Prezentacje Google i wyłączony Skype Click to Call reszta zrobiona Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Te rozszerzenia były w Google Chrome i usuwałam ich foldery. Usuwanie folderu za pomocą FRST nie czyści preferencji Chrome i nazwy rozszerzeń pozostają na liście rozszerzeń. Skoro tego nie widzisz, albo to były szczątki, albo Chrome zrobiło "autoreset". Poza tą niespójnością, wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 - (No Name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No File BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File C:\Program Files (x86)\Comodo C:\Program Files (x86)\DealPly C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\OpenOffice.org 3 C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\log C:\ProgramData\OpenFM C:\ProgramData\Partner C:\ProgramData\Sun C:\Users\ALEKSANDRA\AppData\Local\AVG C:\Users\ALEKSANDRA\AppData\Local\cache C:\Users\ALEKSANDRA\AppData\Local\Comodo C:\Users\ALEKSANDRA\AppData\Local\CrashRpt C:\Users\ALEKSANDRA\AppData\Local\Genesis_08300402 C:\Users\ALEKSANDRA\AppData\Local\genienext C:\Users\ALEKSANDRA\AppData\Local\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Mobogenie C:\Users\ALEKSANDRA\AppData\Local\Pay-By-Ads C:\Users\ALEKSANDRA\AppData\LocalLow\DataMngr C:\Users\ALEKSANDRA\AppData\LocalLow\Oracle C:\Users\ALEKSANDRA\AppData\LocalLow\Sun C:\Users\ALEKSANDRA\AppData\Roaming\AVG C:\Users\ALEKSANDRA\AppData\Roaming\Babylon C:\Users\ALEKSANDRA\AppData\Roaming\Browser Tab Search by Ask C:\Users\ALEKSANDRA\AppData\Roaming\BRT C:\Users\ALEKSANDRA\AppData\Roaming\DealPly C:\Users\ALEKSANDRA\AppData\Roaming\Gadu-Gadu 10 C:\Users\ALEKSANDRA\AppData\Roaming\newnext.me C:\Users\ALEKSANDRA\AppData\Roaming\ol C:\Users\ALEKSANDRA\AppData\Roaming\OpenCandy C:\Users\ALEKSANDRA\AppData\Roaming\OpenFM C:\Users\ALEKSANDRA\AppData\Roaming\OpenOffice.org C:\Users\ALEKSANDRA\AppData\Roaming\RHEng C:\Users\ALEKSANDRA\AppData\Roaming\rmi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Noosfe Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 zrobione AdwCleanerR0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 1. Uruchom ponownie AdwCleaner, zastosuj akcję Szukaj + Usuń. Gdy ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ALEKSANDRA\Desktop\Stare dane programu Firefox CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. I podsumuj co się aktualnie dzieje w systemie. Odnośnik do komentarza
Noosfe Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Generalnie wszystko raczej już śmiga zawiozę Aleksandrze laptopa niech go po testuje dziś i jutro po swojemu Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Fix wykonany. Kolejna porcja czynności: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób pełny skan Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś zostanie wykryte, dostarcz raport. Odnośnik do komentarza
Noosfe Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 chyba cos znalazlo DelFix.txt log.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 MBAM znalazł drobne szczątki adware oraz "downloadery" / instalatory mające adware. Wszystko do usunięcia. Program możesz zostawić w systemie, przyda się do skanów na żądanie. Przypominam: SpyHunter won. Na koniec wyczyść foldery Przywracania systemu i uzupełnij najnowsze wersje Adobe, Java oraz Internet Explorer: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się