Skocz do zawartości

Conficker? - brak dostepu do microsoft oraz stron z antywirusami


Rekomendowane odpowiedzi

Witam,

Mam dość spory kłopot gdyż od paru miesięcy nie moge wejść na stronki z antywirusami oraz microsoftu. Czytalem sporo i dowiedziałem się ze to byc może Conficker ale nie mam pojęcia jak sobie z tym poradzić. Przeskanowałem wszystko za pomoca Spyhunt 4 i usunałem to co wykryło ale problem nadal występuje. Widziałem na innych forach coś o logach OTL ale jestem ciemny z tego wiec ktos by mi musial wytlumaczyc o co chodzi i ewentualnie pomoc. Na prawde dlugo sie z tym juz mecze i nie wiem co mam zrobic. Prosze o jakas pomoc :<

 

Działam na Windows 8 - 64 bitowy system operacyjny. Podaje od razu logi z FRST i GMER. Nie wiem czy to istotne czy nie ale podczas tworzenia logu w GMER wyswietlil sie komunikat bledu, ktory brzmi nastepujaco: C:\WINDOWS\system32\config\system: proces nie moze otrzymac dostepu do pliku, poniewaz jest wykorzystywany przez inny proces

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie sądzę, by był tu Conficker (nie dostrzegam tu żadnego jego obiektu) - to raczej wina któregoś tych programów:

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version:  - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

SpyHunter (HKLM-x32\...\{4FC9DA9D-F608-454E-8191-D7EFFDCC5726}) (Version: 4.1.11 - Enigma Software Group USA, LLC)

 

lub tych świństw:

Process  C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp (*** suspicious ***) @ C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp [2632](2015-04-05 17:43:45)    00000000008f0000

Process  C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp (*** suspicious ***) @ C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp [3016](2015-04-05 13:22:25)  00000000003a0000

Process  C:\Users\Andrew\AppData\Local\Temp\Rar$EXa0.883\jhnmqgsg.exe (*** suspicious ***) @ C:\Users\Andrew\AppData\Local\Temp\Rar$EXa0.883\jhnmqgsg.exe [6688](2015-02-04 12:59:56)   0000000000400000 - to akurat GMER, więc odpada!

          

Odinstaluj te oba podejrzane programy, przy czym Spy Hunter  odinstaluj w ten sposób:

kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk

wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje  

 

Potem użyj AdwCleaner

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Odnośnik do komentarza

No ok, a jak dokładnie usunąć wcześniej wspomniane programy wykryte właśnie w tych logach? Poza tym w podanym przez Ciebie " C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk" u mnie konczy sie na  C:\Users\nazwa Użytkownika\Start Menu\Programs i dalej jest tam pusto  :(

EDIT:

Usunąlem juz spyhuntera i YAC. Nie sądzę zeby byla to wina tych programow, ponieważ instalowalem je dzisiaj zeby sprawdzić czy uda mi sie rozwiazac problem. Jeśli będą potrzebne nowe logi to prosze o odpowiedz i wstawie.

Odnośnik do komentarza

Otwórz Notatnik i wklej w nim:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe
C:\Program Files (x86)\Elex-tech
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
Shortcut: C:\Users\Andrew\Desktop\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe
C:\Program Files (x86)\Enigma Software Group
Shortcut: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe
C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
ShortcutWithArgument: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) -> /X {4FC9DA9D-F608-454E-8191-D7EFFDCC5726}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4FC9DA9D-F608-454E-8191-D7EFFDCC5726}" /f
Shortcut: C:\Users\Public\Desktop\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe (Elex do Brasil Participações Ltda)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\uninstall.lnk -> C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (Elex do Brasil Participações Ltda) -> -uninst
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC Desktop.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iDesk.exe () -> -lnk
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC Wifi.lnk -> C:\Program Files (x86)\Elex-tech\YAC\YacWifi.exe (Elex do Brasil Participações Ltda) -> /startmenu
Task: {402ECAC4-453D-42F2-8C79-CA32FFEEB95A} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-04-05] (Enigma Software Group USA, LLC.)
Task: {635A788E-667E-42D2-9D69-3A66F62EC223} - \SomotoUpdateCheckerAutoStart No Task File <==== ATTENTION
Task: {8855519E-1F9A-4E4C-909A-906FFCDF41D5} - \NAPSTAT No Task File <==== ATTENTION
Task: {96A75282-A1A9-4385-A637-943097F9CB99} - System32\Tasks\{F78427F7-D0C9-4161-9312-7B7E9B82A122} => pcalua.exe -a C:\Users\Andrew\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=obw
Task: {E4432BE5-2117-4949-AB43-A67596F33A8B} - \FoxTab No Task File <==== ATTENTION
C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp
C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp
C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [249000 2015-03-20] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [45224 2015-03-20] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [99496 2015-03-20] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [42152 2015-03-20] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [93352 2015-03-20] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-02-15] (Elex do Brasil Participações Ltda)
S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
C:\Users\Andrew\AppData\Roaming\Elex-tech
C:\Program Files (x86)\Elex-tech
C:\Users\Andrew\AppData\Roaming\eCyber
C:\Users\Andrew\Downloads\yet_another_cleaner_sk_3047707.exe
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\spyhunter.fix
C:\Users\Andrew\AppData\Local\nsqB51.tmp
C:\Users\Andrew\AppData\Roaming\AnyProtectEx
C:\sh4ldr
C:\Users\Andrew\AppData\Local\foxtab_speeddial.crx
C:\Users\Andrew\AppData\Local\nsf11A3.tmp
C:\Users\Andrew\AppData\Local\nsq73D0.tmp
C:\Users\Andrew\AppData\Local\nsqB51.tmp
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
R3 riwijelo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp
S3 SpyHunter 4 Service; C:\Program Files (x86)\Enigma Software Group\SpyHunter\SH4Service.exe
R3 xyhigysy; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp
FF Extension: FF Toolbar - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\fftoolbar2014@etech.com [2015-04-05]
FF Extension: Fast Start - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\istart_ffnt@gmail.com [2015-04-05]
FF Extension: Search Enginer - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\searchengine@gmail.com [2015-04-05]
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.com
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{11aac89e-b2d9-4b81-bbed-d6f784098f3a} <======= ATTENTION (Policy Restriction on IP)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Andrew\AppData\Local\Akamai\netsession_win.exe"
C:\Users\Andrew\AppData\Local\Akamai\netsession_win.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
 

Teraz użyj Adw-Cleaner.

 

Potem zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza

Wg mnie w tych nowych logach nie ma już niczego istotnie szkodliwego.

Ale to powinna przejrzeć jeszcze @Picasso.

 

Jeśli przez kilka najbliższych dni @Picasso nie przejrzy, to zrobisz przynajmniej to:

Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.com [Not Found]
FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.com [Not Found]
FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.com [Not Found]
S2 nicorygo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nssEB3.tmp [X]
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.

 

Najważniejsze, że nie masz już problemu z Microsoftem.

 

jessi

Odnośnik do komentarza

Temat posprzątałam.

 

 

jessika

 

Na przyszłość:

 

 

 

 

1. Proszę pobieraj nowe logi po deinstalacji programów, by nie przetwarzać nieistniejących obiektów.

 

2. FRST nie usuwa wpisów typu Shortcut przeklejonych wprost z loga (o ile ręcznie ich nie przetworzysz na czystą ścieżkę), adresuje tylko i wyłącznie wpisy typu ShortcutWithArgument z doklejonym URL (obcina URL z adresu). Skutki to błędy nieobsługiwanych komend:

 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe => Error: No automatic fix found for this entry.

Shortcut: C:\Users\Andrew\Desktop\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe => Error: No automatic fix found for this entry.

Shortcut: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe => Error: No automatic fix found for this entry.

Shortcut: C:\Users\Public\Desktop\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe (Elex do Brasil Participaçoes Ltda) => Error: No automatic fix found for this entry.

 

3. FRST również nie usunie takich wpisów:

 

FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.com [Not Found]

FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.com [Not Found]

FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.com [Not Found]

 

To jest tylko informacja pobierana z pliku extensions.ini, że plik ten ma odwołania do nieistniejących już na dysku rozszerzeń. Usuwałaś je przecież (pierwszy skrypt). Tego typu wpisy "not found" Firefox samodzielnie koryguje, gdy zostanie ponowie uruchomiony (tu nie był). Te wpisy oczywiście nigdy się nie zaktualizują, gdy Firefox jest odinstalowany, a na dysku został po nim cały profil (wtedy usuwa się profil).

 

 

 

 

 

andrjewek

 

Wprawdzie SpyHunter i YAC należało usunąć, bo to oszuści (KLIK / KLIK), ale problem z ładowaniem stron nie był z ich winy. Problem tworzyła polityka IPSEC limitująca dostęp sieciowy, wprowadzona kiedyś przez malware:

 

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{11aac89e-b2d9-4b81-bbed-d6f784098f3a}

 

I tu nie koniec akcji, nadal jest czym się zajmować. Zmodyfikowany plik HOSTS, szczątki adware, adware Widget Context (zainstalowane globalnie dla wszystkich profilów Firefox) oraz trojan Medfos w Firefox (tworzy obiekty imitujące inne poprawne komponenty = tu jest "Windows Photo Viewer Gallery Interface", zawsze unikatowe ID):

 

FF Extension: Widget context - C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-01-05]

FF Extension: Windows Photo Viewer Gallery Interface - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\{32445A98-A277-3F17-FFFD-D710F5C374A8} [2015-02-04]

 

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj stare wersje i zbędnik: Adobe Flash Player 16 NPAPI, Java 7 Update 65, McAfee Security Scan Plus.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Hosts:
Task: {029BAF9C-AD1F-43B9-9279-3499355D612B} - System32\Tasks\{5B5A4F5F-7016-4FCF-9C92-E95636293DF0} => pcalua.exe -a F:\Autorun.exe -d F:\
Task: {90E1E1FE-CAE9-47E2-BF7A-5FD3659AF90B} - System32\Tasks\{EDA591DD-9695-4926-9AC4-A0488995424A} => pcalua.exe -a C:\Users\Andrew\AppData\Local\Akamai\uninstall.exe
Task: {E01FFE03-9511-4F86-A553-56D5EF10E44F} - System32\Tasks\{75316A84-DB02-425C-A77D-838B01677EC9} => pcalua.exe -a C:\Users\Andrew\Downloads\dead.island.10.trainer_cw_downloader_14691_gry.exe -d C:\Users\Andrew\Downloads
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2013-10-17] (Microsoft Corporation)
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Alternate
C:\ProgramData\Temp
C:\Users\Andrew\AppData\Local\Alternate
C:\Users\Andrew\AppData\Local\D0D66880-1428247545-11E2-B2A5-317CD4B82100
C:\Users\Andrew\AppData\Local\WorldofTanks
C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
C:\Users\Andrew\Desktop\wszystko\DAEMON Tools Lite.lnk
C:\Users\Andrew\Desktop\wszystko\Mz RAM Booster.lnk
C:\Users\UpdatusUser\Desktop\*.lnk
C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\WINDOWS\system32\VCLOff.ini
C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf
C:\WINDOWS\system32\log
C:\WINDOWS\SysWOW64\VCLOff.ini
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt orz logi z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie raporty).

Odnośnik do komentarza

Drobne poprawki jeszcze. Otwórz Notatnik i wklej w nim:

 

S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S2 nicorygo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nssEB3.tmp [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-18\...\RunOnce: [spUninstallDeleteDir] => rmdir /s /q "\SearchProtect"
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: del /q C:\Users\Andrew\AppData\Roaming\msregsvv.dll
CMD: del /q C:\Users\Andrew\Downloads\gm*.zip
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Andrew\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...