andrjewek Opublikowano 5 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Witam, Mam dość spory kłopot gdyż od paru miesięcy nie moge wejść na stronki z antywirusami oraz microsoftu. Czytalem sporo i dowiedziałem się ze to byc może Conficker ale nie mam pojęcia jak sobie z tym poradzić. Przeskanowałem wszystko za pomoca Spyhunt 4 i usunałem to co wykryło ale problem nadal występuje. Widziałem na innych forach coś o logach OTL ale jestem ciemny z tego wiec ktos by mi musial wytlumaczyc o co chodzi i ewentualnie pomoc. Na prawde dlugo sie z tym juz mecze i nie wiem co mam zrobic. Prosze o jakas pomoc :< Działam na Windows 8 - 64 bitowy system operacyjny. Podaje od razu logi z FRST i GMER. Nie wiem czy to istotne czy nie ale podczas tworzenia logu w GMER wyswietlil sie komunikat bledu, ktory brzmi nastepujaco: C:\WINDOWS\system32\config\system: proces nie moze otrzymac dostepu do pliku, poniewaz jest wykorzystywany przez inny proces Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
jessica Opublikowano 5 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Nie sądzę, by był tu Conficker (nie dostrzegam tu żadnego jego obiektu) - to raczej wina któregoś tych programów: YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION SpyHunter (HKLM-x32\...\{4FC9DA9D-F608-454E-8191-D7EFFDCC5726}) (Version: 4.1.11 - Enigma Software Group USA, LLC) lub tych świństw: Process C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp (*** suspicious ***) @ C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmp [2632](2015-04-05 17:43:45) 00000000008f0000 Process C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp (*** suspicious ***) @ C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmp [3016](2015-04-05 13:22:25) 00000000003a0000 Process C:\Users\Andrew\AppData\Local\Temp\Rar$EXa0.883\jhnmqgsg.exe (*** suspicious ***) @ C:\Users\Andrew\AppData\Local\Temp\Rar$EXa0.883\jhnmqgsg.exe [6688](2015-02-04 12:59:56) 0000000000400000 - to akurat GMER, więc odpada! Odinstaluj te oba podejrzane programy, przy czym Spy Hunter odinstaluj w ten sposób: kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje Potem użyj AdwCleaner najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Odnośnik do komentarza
andrjewek Opublikowano 5 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 No ok, a jak dokładnie usunąć wcześniej wspomniane programy wykryte właśnie w tych logach? Poza tym w podanym przez Ciebie " C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk" u mnie konczy sie na C:\Users\nazwa Użytkownika\Start Menu\Programs i dalej jest tam pusto EDIT: Usunąlem juz spyhuntera i YAC. Nie sądzę zeby byla to wina tych programow, ponieważ instalowalem je dzisiaj zeby sprawdzić czy uda mi sie rozwiazac problem. Jeśli będą potrzebne nowe logi to prosze o odpowiedz i wstawie. Odnośnik do komentarza
jessica Opublikowano 5 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Poczekaj, przejrzę log Shortcut ... Natomiast: YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) noemalnie, poprzez Dodaj\Usuń programy. Zresztą, jak użyjesz Adw-Cleaner, to on też usunie tego YAC. Odnośnik do komentarza
andrjewek Opublikowano 5 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 To poczekam wtedy na odpowiedz i dopiero pozniej użyje Adw Odnośnik do komentarza
jessica Opublikowano 5 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Otwórz Notatnik i wklej w nim: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exeC:\Program Files (x86)\Elex-techC:\ProgramData\Microsoft\Windows\Start Menu\Programs\YACShortcut: C:\Users\Andrew\Desktop\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exeC:\Program Files (x86)\Enigma Software GroupShortcut: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exeC:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunterShortcutWithArgument: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk -> C:\Windows\SysWOW64\msiexec.exe (Microsoft Corporation) -> /X {4FC9DA9D-F608-454E-8191-D7EFFDCC5726}Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /fReg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4FC9DA9D-F608-454E-8191-D7EFFDCC5726}" /fShortcut: C:\Users\Public\Desktop\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe (Elex do Brasil Participações Ltda)ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\uninstall.lnk -> C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (Elex do Brasil Participações Ltda) -> -uninstShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC Desktop.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iDesk.exe () -> -lnkShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC Wifi.lnk -> C:\Program Files (x86)\Elex-tech\YAC\YacWifi.exe (Elex do Brasil Participações Ltda) -> /startmenuTask: {402ECAC4-453D-42F2-8C79-CA32FFEEB95A} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-04-05] (Enigma Software Group USA, LLC.)Task: {635A788E-667E-42D2-9D69-3A66F62EC223} - \SomotoUpdateCheckerAutoStart No Task File <==== ATTENTIONTask: {8855519E-1F9A-4E4C-909A-906FFCDF41D5} - \NAPSTAT No Task File <==== ATTENTIONTask: {96A75282-A1A9-4385-A637-943097F9CB99} - System32\Tasks\{F78427F7-D0C9-4161-9312-7B7E9B82A122} => pcalua.exe -a C:\Users\Andrew\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obwTask: {E4432BE5-2117-4949-AB43-A67596F33A8B} - \FoxTab No Task File <==== ATTENTIONC:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmpC:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmpC:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [249000 2015-03-20] (Elex do Brasil Participações Ltda)S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [45224 2015-03-20] (Elex do Brasil Participações Ltda)R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [99496 2015-03-20] (Elex do Brasil Participações Ltda)R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [42152 2015-03-20] (Elex do Brasil Participações Ltda)R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [93352 2015-03-20] (Elex do Brasil Participações Ltda)R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-02-15] (Elex do Brasil Participações Ltda)S1 innfd_1_10_0_13; system32\drivers\innfd_1_10_0_13.sys [X]Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fC:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sysC:\WINDOWS\system32\Drivers\iSafeNetFilter.sysC:\Users\Andrew\AppData\Roaming\Elex-techC:\Program Files (x86)\Elex-techC:\Users\Andrew\AppData\Roaming\eCyberC:\Users\Andrew\Downloads\yet_another_cleaner_sk_3047707.exeC:\WINDOWS\System32\Tasks\SpyHunter4StartupC:\spyhunter.fixC:\Users\Andrew\AppData\Local\nsqB51.tmpC:\Users\Andrew\AppData\Roaming\AnyProtectExC:\sh4ldrC:\Users\Andrew\AppData\Local\foxtab_speeddial.crxC:\Users\Andrew\AppData\Local\nsf11A3.tmpC:\Users\Andrew\AppData\Local\nsq73D0.tmpC:\Users\Andrew\AppData\Local\nsqB51.tmpR2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exeR3 riwijelo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nsk62DD.tmpS3 SpyHunter 4 Service; C:\Program Files (x86)\Enigma Software Group\SpyHunter\SH4Service.exeR3 xyhigysy; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\jnsmD2AD.tmpFF Extension: FF Toolbar - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\fftoolbar2014@etech.com [2015-04-05]FF Extension: Fast Start - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\istart_ffnt@gmail.com [2015-04-05]FF Extension: Search Enginer - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\searchengine@gmail.com [2015-04-05]FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.comFF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.comFF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.comHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{11aac89e-b2d9-4b81-bbed-d6f784098f3a} <======= ATTENTION (Policy Restriction on IP)CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTIONIFEO\bpsvc.exe: [Debugger] tasklist.exeIFEO\browsersafeguard.exe: [Debugger] tasklist.exeIFEO\dprotectsvc.exe: [Debugger] tasklist.exeIFEO\jumpflip: [Debugger] tasklist.exeIFEO\protectedsearch.exe: [Debugger] tasklist.exeIFEO\searchinstaller.exe: [Debugger] tasklist.exeIFEO\searchprotection.exe: [Debugger] tasklist.exeIFEO\searchprotector.exe: [Debugger] tasklist.exeIFEO\searchsettings.exe: [Debugger] tasklist.exeIFEO\searchsettings64.exe: [Debugger] tasklist.exeIFEO\snapdo.exe: [Debugger] tasklist.exeIFEO\stinst32.exe: [Debugger] tasklist.exeIFEO\stinst64.exe: [Debugger] tasklist.exeIFEO\umbrella.exe: [Debugger] tasklist.exeIFEO\utiljumpflip.exe: [Debugger] tasklist.exeIFEO\volaro: [Debugger] tasklist.exeIFEO\vonteera: [Debugger] tasklist.exeIFEO\websteroids.exe: [Debugger] tasklist.exeIFEO\websteroidsservice.exe: [Debugger] tasklist.exeHKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Andrew\AppData\Local\Akamai\netsession_win.exe"C:\Users\Andrew\AppData\Local\Akamai\netsession_win.exeEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.Uruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Teraz użyj Adw-Cleaner. Potem zrób nowe logi FRST. jessi Odnośnik do komentarza
andrjewek Opublikowano 5 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Oki daje powstały log i ide użyć Adw Edit: wyczyscilem tak jak powiedziałaś i normalnie działa juz strona microsoft oraz strony antywirusowe Dla pewności za chwilke podeśle raz jeszcze logi z Frst Podsyłam obiecane logi Fixlog.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 5 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Wg mnie w tych nowych logach nie ma już niczego istotnie szkodliwego. Ale to powinna przejrzeć jeszcze @Picasso. Jeśli przez kilka najbliższych dni @Picasso nie przejrzy, to zrobisz przynajmniej to: Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fFF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.com [Not Found]FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.com [Not Found]FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.com [Not Found]S2 nicorygo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nssEB3.tmp [X]S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.Uruchom FRST i kliknij przycisk Fix. Najważniejsze, że nie masz już problemu z Microsoftem. jessi Odnośnik do komentarza
andrjewek Opublikowano 5 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2015 Dziękuję Ci bardzo jestem na prawdę bardzo wdzięczny za pomoc, bo sprawiało mi to bardzo duży problem. Korzystając z okazji chciałbym się jeszcze zapytać jak w przyszlości unikać takich sytuacji i czy mogę zainstalować już na spokojnie program antywirusowy? Odnośnik do komentarza
jessica Opublikowano 6 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2015 czy mogę zainstalować już na spokojnie program antywirusowy? Oczywiscie możesz. Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2015 Temat posprzątałam. jessika Na przyszłość: 1. Proszę pobieraj nowe logi po deinstalacji programów, by nie przetwarzać nieistniejących obiektów. 2. FRST nie usuwa wpisów typu Shortcut przeklejonych wprost z loga (o ile ręcznie ich nie przetworzysz na czystą ścieżkę), adresuje tylko i wyłącznie wpisy typu ShortcutWithArgument z doklejonym URL (obcina URL z adresu). Skutki to błędy nieobsługiwanych komend: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe => Error: No automatic fix found for this entry. Shortcut: C:\Users\Andrew\Desktop\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe => Error: No automatic fix found for this entry. Shortcut: C:\Users\Andrew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter\SpyHunter.lnk -> C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe => Error: No automatic fix found for this entry. Shortcut: C:\Users\Public\Desktop\YAC.lnk -> C:\Program Files (x86)\Elex-tech\YAC\iStart.exe (Elex do Brasil Participaçoes Ltda) => Error: No automatic fix found for this entry. 3. FRST również nie usunie takich wpisów: FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\fftoolbar2014@etech.com [Not Found] FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\istart_ffnt@gmail.com [Not Found] FF Extension: No Name - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\extensions\searchengine@gmail.com [Not Found] To jest tylko informacja pobierana z pliku extensions.ini, że plik ten ma odwołania do nieistniejących już na dysku rozszerzeń. Usuwałaś je przecież (pierwszy skrypt). Tego typu wpisy "not found" Firefox samodzielnie koryguje, gdy zostanie ponowie uruchomiony (tu nie był). Te wpisy oczywiście nigdy się nie zaktualizują, gdy Firefox jest odinstalowany, a na dysku został po nim cały profil (wtedy usuwa się profil). andrjewek Wprawdzie SpyHunter i YAC należało usunąć, bo to oszuści (KLIK / KLIK), ale problem z ładowaniem stron nie był z ich winy. Problem tworzyła polityka IPSEC limitująca dostęp sieciowy, wprowadzona kiedyś przez malware: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{11aac89e-b2d9-4b81-bbed-d6f784098f3a} I tu nie koniec akcji, nadal jest czym się zajmować. Zmodyfikowany plik HOSTS, szczątki adware, adware Widget Context (zainstalowane globalnie dla wszystkich profilów Firefox) oraz trojan Medfos w Firefox (tworzy obiekty imitujące inne poprawne komponenty = tu jest "Windows Photo Viewer Gallery Interface", zawsze unikatowe ID): FF Extension: Widget context - C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-01-05] FF Extension: Windows Photo Viewer Gallery Interface - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\{32445A98-A277-3F17-FFFD-D710F5C374A8} [2015-02-04] Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje i zbędnik: Adobe Flash Player 16 NPAPI, Java 7 Update 65, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Hosts: Task: {029BAF9C-AD1F-43B9-9279-3499355D612B} - System32\Tasks\{5B5A4F5F-7016-4FCF-9C92-E95636293DF0} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {90E1E1FE-CAE9-47E2-BF7A-5FD3659AF90B} - System32\Tasks\{EDA591DD-9695-4926-9AC4-A0488995424A} => pcalua.exe -a C:\Users\Andrew\AppData\Local\Akamai\uninstall.exe Task: {E01FFE03-9511-4F86-A553-56D5EF10E44F} - System32\Tasks\{75316A84-DB02-425C-A77D-838B01677EC9} => pcalua.exe -a C:\Users\Andrew\Downloads\dead.island.10.trainer_cw_downloader_14691_gry.exe -d C:\Users\Andrew\Downloads CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2013-10-17] (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Alternate C:\ProgramData\Temp C:\Users\Andrew\AppData\Local\Alternate C:\Users\Andrew\AppData\Local\D0D66880-1428247545-11E2-B2A5-317CD4B82100 C:\Users\Andrew\AppData\Local\WorldofTanks C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Andrew\Desktop\wszystko\DAEMON Tools Lite.lnk C:\Users\Andrew\Desktop\wszystko\Mz RAM Booster.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\WINDOWS\system32\VCLOff.ini C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\VCLOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt orz logi z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie raporty). Odnośnik do komentarza
andrjewek Opublikowano 7 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Zrobiłem wszystko zgodnie z instrukcją. Podsyłam wszystkie logi: Fixlog.txt FRST.txt AdwCleanerR4.txt AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Drobne poprawki jeszcze. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 nicorygo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nssEB3.tmp [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-18\...\RunOnce: [spUninstallDeleteDir] => rmdir /s /q "\SearchProtect" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\Andrew\AppData\Roaming\msregsvv.dll CMD: del /q C:\Users\Andrew\Downloads\gm*.zip RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Andrew\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się