Phantomek Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Cześć! W ostatnim czasie kompa dopadł jakiś malware lub kilka W każdej przeglądarce(głównie korzystam z chrome) otwierają mi się niechciane strony, reklamy mimo zainstalowanego adblocka. Odinstalowałem co uznałem za szkodliwe, przeinstalowałem przeglądarki, ale niestety nie pomogło. Proszę o pomoc W załączniku logi z FRSTa i GMERa Pozdrawiam, Phantomek Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 W systemie działa adware TermBlazer. Przy okazji, próbując rozwiązać problem pobierałeś: - YAC (Yet Another Cleaner) = program z czarnej listy i złodziej: KLIK. - Spybot - Search & Destroy z portalu dobreprogramy.pl, a to co pobrałeś jako plik początkowy to nie był instalator właściwy tylko śmieć portalowy "Asystent pobierania" - więcej na ten temat: KLIK. C:\Users\Zbyszek\Desktop\Spybot-Search-Destroy(12546)-dp.exe Akcje do przeprowadzenia: 1. Rozpocznij od deinstalacji adware via Panel sterowania: TermBlazer, PragmaEngine. Przy okazji odinstaluj też stare werje Java 7 Update 67, Java 8 Update 25 oraz zbędny przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk [2014-08-23] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} URLSearchHook: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 - SearchMe Toolbar - {B9C767DD-F66A-40B4-8F12-4199A9A4393C} - No File SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> DefaultScope {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Task: {26795CAE-2FF6-4DE7-A258-4852BE051BDD} - System32\Tasks\Chromium => C:\Users\Jarosław\AppData\Local\Chromium\Application\uninstall.exe [2015-05-20] () Task: {7CF25556-C851-4EEA-9300-EE7522984659} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {93400E6A-EFFC-462A-B438-67A14DC11A46} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1002 No Task File Task: {E6078781-991A-412C-806D-BD8B26527FDA} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1009 No Task File Task: {F841D911-66B2-4527-83FB-37761447B924} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC\Caches\mdm [2015-04-21] () Task: C:\WINDOWS\Tasks\Chromium.job => C:\Users\JAROSA~1\AppData\Local\Chromium\APPLIC~1\UNINST~1.EXE S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\PragmaEngine C:\ProgramData\14440415289341703812 C:\ProgramData\freedealsapp C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Jarosław\AppData\Local\Gameo C:\Users\Jarosław\AppData\Local\Chromium C:\Users\Jarosław\AppData\Roaming\appdataFr3.bin C:\Users\Jarosław\AppData\Roaming\appdataFr25.bin C:\Users\Jarosław\AppData\Roaming\Elex-tech C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Jarosław\Desktop\*(*)-dp*.exe C:\Users\Jarosław\Downloads\*(*)-dp*.exe C:\Users\Zbyszek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Zbyszek\AppData\Local\Mozilla C:\Users\Zbyszek\AppData\Roaming\appdataFr3.bin C:\Users\Zbyszek\AppData\Roaming\appdataFr25.bin C:\Users\Zbyszek\AppData\Roaming\Mozilla C:\Users\Zbyszek\Desktop\Driver Cleaner 3.lnk C:\Users\Zbyszek\Desktop\*(*)-dp*.exe C:\Users\Zbyszek\Downloads\*(*)-dp*.exe C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys C:\WINDOWS\system32\log RemoveDirectory: C:\Users\jar3k_000 CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są aż trzy konta: ==================== Accounts: ============================= Jarosław (S-1-5-21-2702069576-3377963828-517850969-1001 - Administrator - Enabled) => C:\Users\Jarosław Piotrek (S-1-5-21-2702069576-3377963828-517850969-1009 - Administrator - Enabled) Zbyszek (S-1-5-21-2702069576-3377963828-517850969-1005 - Administrator - Enabled) => C:\Users\Zbyszek Wymagane raporty z każdego po kolei, z tym że Piotrek wygląda jak konto w ogóle nie zainicjowane jeszcze lub uszkodzone (brak ścieżki na dysku), więc to konto pomiń i po prostu usuń je via Panel sterowania całkowicie. Zaloguj się po kolei na Jarosława oraz Zbyszka poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika), na każdym zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut) - czyli ma powstać 6 logów. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Phantomek Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Cześć! W załączniku logi. Nie mogłem usunąć PragmaEngine via Panel Sterowania ponieważ dostawałem cały czas error(screen w załączniku). Folder tego programu jest pusty. Pozdrawiam, Phantomek Addition_Jarosław.txt Addition_Zbyszek.txt Fixlog.txt FRST_Jarosław.txt FRST_Zbyszek.txt Shortcut_Jarosław.txt Shortcut_Zbyszek.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Szczątkowy PragmaEngine zostanie dokasowany ręcznie. Poza tym, wszystko poszło sprawnie. Kolejna porcja zadań: NA KONCIE JAROSŁAW: 1. Otwórz Notatnik i wklej w nim: S1 tbfd_1_10_0_16; system32\drivers\tbfd_1_10_0_16.sys [X] BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-2702069576-3377963828-517850969-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21¶m1=1¶m2=f%3D1%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21¶m1=1¶m2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {F8A0E0EF-4654-4F6D-BEB8-2DA3CFF26712} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} CMD: del /q C:\Users\Jarosław\AppData\Roaming\regsvr32.exe_log.txt RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Piotrek RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking Folder: C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "PC Suite Tray" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "TornTv Downloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v TornTvDownloader.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromium /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{9b6ed4d7} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj jeszcze Usuń). Log powstanie w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odnośnik do komentarza
Phantomek Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Cześć! Security Protection niestety nie ma tego w rozszerzeniach przeglądarki - jest jedynie adblock i avast. Logi w załączniku. Fixlog.txt AdwCleanerR2.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Phantomek, mówiłam wyraźnie, że wszystkie akcje masz wykonać będąc zalogowanym na koncie Jarosław, a Ty wykonałeś Fix FRST z poziomu konta Zbyszek (brak widoczności wpisów Jarosława) + Google Chrome wygląda kompletnie inaczej. Powtarzaj 1 do 4 będąc zalogowanym na koncie Jarosław. Odnośnik do komentarza
Phantomek Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Przepraszam, mój błąd. Załączam poprawne logi. Security Protection wciąż nie widzę w chrome. AdwCleanerR3.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi