leon665 Opublikowano 6 Marca 2015 Zgłoś Udostępnij Opublikowano 6 Marca 2015 Witam, Wszystko zaczęło się od fałszywego maila aplikacji whatsapp, przekierowaniu na stronę logowania i ściągnięciu jakiegoś programu. Tak jak w temacie, nastąpiła zmiana strony startowej w przeglądarce, której nie można zmienić. Cały czas próbuje instalować się aktualizacja jakiegoś programu. Proszę o pomoc. Poniżej załączam wymagane logi. Edit: Użyłem AdwCleaner oraz tdsskiller. Ponownie przeskanowałem FRST i Gmer. Wszystkie logi, poniżej. Te w załączniku są zrobione przed podjęciem działań. AdwCleaner - załącznik tdsskiller - załącznik FRST http://wklej.org/id/1656721/ Addition http://wklej.org/id/1656723/ Shortcut http://wklej.org/id/1656726/ gmer http://wklej.org/id/1656733/ Addition.txt FRST.txt Shortcut.txt gmer.txt AdwCleanerR0.txt AdwCleanerS0.txt TDSSKiller.3.0.0.44_07.03.2015_16.46.18_log.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 Na przyszłość: przed użyciem AdwCleaner staraj się poprawnie deinstalować programy adware via Panel sterowania, a po tym w menedżerach przeglądarek. Tu nie odbyła się poprawna deinstalacja (było 9 programów możliwych do deinstalacji), AdwCleaner brutalnie usuwał komponenty. Nie wszystko zostało usunięte - nadal dwie usługi adware uruchomione w tle oraz modyfikacja Winsock (wpięcie BDL.dll). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 qiduvoko; C:\Users\Bozena\AppData\Local\E3AFE132-1425247926-11E2-BC31-41E22C00003D\insx3AC2.tmp [99840 2015-03-01] () [File not signed] R2 wefohoti; C:\Users\Bozena\AppData\Local\E3AFE132-1425247334-11E2-BC31-41E22C00003D\snso3BCA.tmp [142336 2015-03-01] () [File not signed] S2 BasementDuster; C:\Program Files (x86)\IGS\BasementDuster.exe [X] U1 DS1410D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72991508.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72991508.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\ProgramData\{8d5ece31-6029-aa1e-8d5e-ece3160238c5} C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Bozena\AppData\Local\E3AFE132-1425247334-11E2-BC31-41E22C00003D C:\Users\Bozena\AppData\Local\E3AFE132-1425247926-11E2-BC31-41E22C00003D C:\Users\Bozena\AppData\Roaming\E3AFE132-1425247273-11E2-BC31-41E22C00003D C:\Windows\system32\BasementDusterOff.ini C:\Windows\SysWOW64\BasementDuster.ini C:\Windows\SysWOW64\BasementDusterOff.ini C:\Windows\SysWOW64\BDL.dll Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Update Service YourFileDownloader" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dla pewności jeszcze w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bozena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
leon665 Opublikowano 21 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2015 Witam,, Poniżej załączam wymagane logi. http://wklej.org/id/1667674/ http://wklej.org/id/1667675/ Mam pytanie odnoście antywirusa, jest tu zainstalowany KAV. Problem z nim jest taki, że trzeba wymuszać aktualizację, sam tego nie robi. Czy jest to spowodowane przez jakieś z powyższych programów? Odnośnik do komentarza
picasso Opublikowano 21 Marca 2015 Zgłoś Udostępnij Opublikowano 21 Marca 2015 Wszystkie akcje pomyślnie wykonane. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Bozena\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Bozena\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Bozena\Downloads\g54lddlc.exe Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions\blbkdnmdcafmfhinpmnlhhddbepgkeaa /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\blbkdnmdcafmfhinpmnlhhddbepgkeaa /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Mam pytanie odnoście antywirusa, jest tu zainstalowany KAV. Problem z nim jest taki, że trzeba wymuszać aktualizację, sam tego nie robi. Czy jest to spowodowane przez jakieś z powyższych programów? Czy na pewno to nadal ma miejsce po przeprowadzonym właśnie usuwaniu? Był resetowany Winsock, co ma duże znaczenie w kontekście nakreślonego problemu. Odnośnik do komentarza
leon665 Opublikowano 21 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2015 Wymagany log: http://wklej.org/id/1667680/txt/ Czy na pewno to nadal ma miejsce po przeprowadzonym właśnie usuwaniu? Był resetowany Winsock, co ma duże znaczenie w kontekście nakreślonego problemu. Dobre pytanie. Poczekam kilka dni i zobaczymy czy problem będzie powracał. Odnośnik do komentarza
picasso Opublikowano 22 Marca 2015 Zgłoś Udostępnij Opublikowano 22 Marca 2015 Fix wykonany. Teraz na wszelki wypadek zrób jeszcze pełny skan za pomocą Malwarebytes Anti-Malware i dostarcz raport wynikowy (o ile cokolwiek zostanie znalezione). Odnośnik do komentarza
leon665 Opublikowano 22 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2015 Fix wykonany. Teraz na wszelki wypadek zrób jeszcze pełny skan za pomocą Malwarebytes Anti-Malware i dostarcz raport wynikowy (o ile cokolwiek zostanie znalezione). Witaj, wymagany raport poniżej: http://wklej.org/id/1668955/ Odnośnik do komentarza
leon665 Opublikowano 24 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2015 PS. Niestety KAV nadal nie aktualizuje baz danych automatycznie. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się