soochar Opublikowano 6 Maja 2015 Zgłoś Udostępnij Opublikowano 6 Maja 2015 Hej, Po ostatniej instalce All Playera, weszły mi w system jakieś syfy. Zainstalowały się z nim napisy24, które miałem w autostarcie. Wyłączyłem je przez msconfig, ale dalej same tam wskakują. Dodatkowo podczas pisania, w pewnym momencie znika kursor pisania, tak jak by przeskakiwał do innego okna. Czasem też rozłącza się w tym samym momencie internet. Chociaż teraz po skanie GMERerm ten ostatni objaw jakby zniknął. Nie wiem na jak długo, dlatego proszę o zerknięcie w logi, czy nie siedzi tu jakiś syf. No i ewentualnie o wskazówki, jak usunąć na stałe z listy autostartu update do napisów24. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Ta instalacja AllPlayer to nic złego, Napisy24 są jej częścią. Napisy24 są już wyłączone, usunę je z listy msconfig i dysku. Natomiast w systemie są widoczne inne problemy nie związane z AllPlayer wcale, tzn. szczątki po infekcji adware z przeszłości (przekierowania sweet-page.com i mystartsearch.com, zmodyfikowane skróty LNK przeglądarek, fałszywy WorldofTanks). Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1417288201&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird StandardProfile\AuthorizedApplications: [C:\Program Files\KONAMI\Pro Evolution Soccer 2011\pes2011.exe] => Enabled:Pro Evolution Soccer 2011 StandardProfile\GloballyOpenPorts: [1886:TCP] => Enabled:Genieo U3 Avgfwfd; system32\DRIVERS\avgfwdx.sys [X] S3 FscBapi; system32\DRIVERS\FscBapi.sys [X] S3 FscCmos; system32\DRIVERS\FscCmos.sys [X] S3 FscCpuid; system32\DRIVERS\FscCpuid.sys [X] S3 FscEfDmi; system32\DRIVERS\FscEfDmi.sys [X] U3 a3mvpgbj; No ImagePath C:\Documents and Settings\All Users\Dane aplikacji\ALLPlayerRemote C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Magda\Dane aplikacji\Opera Software C:\Documents and Settings\Magda\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\AVG Web TuneUp C:\Program Files\EnterDigital C:\Program Files\NapiProjekt C:\Program Files\Napisy24 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLPlayer WiFi Remote" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest zainstalowane rozszerzenie ZenMate Security & Privacy VPN. Wersja darmowa to wariant adware: KLIK. When using ZenMate, we may display in the framework of our free services advertisements in your browser or smartphone which are generated by us or by third party providers. These advertisements may overlay other elements shown on your screen. Sugeruję deinstalację. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
soochar Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 Faktycznie ten worldoftanks też mi się z czymś ściągnął i zainstalował. Oto nowe logi: FRST.txt Fixlog.txt Odnośnik do komentarza
soochar Opublikowano 8 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2015 Wszystko ok w tych logach? Bo teraz coś mi się długo komp włącza.. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się