forman Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Witam, jakiś czas temu dalem sie nabrać na instalke, która była zrobiona tak abym mogl ją wylaczyc tylko w procesach, po czym powracala za jakis czas zamiast odrazu pozbyć sie olałem temat na chwile, wkoncu przypadkiem zainstalowalem dany program. Teraz są tego efekty.. Reklamy, zblokowana przegladarka chrome, obciążony procesor. gmer.txt Addition.txt frst.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Zestaw logów niekompletny - brak obowiązkowych logów FRST Addition + Shortcut. Wracaj do instrukcji tworzenia raportów i dostarcz brakujące pliki: KLIK. Odnośnik do komentarza
forman Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Post uzupełniłem o brakujące logi, przepraszam za niedociągniecie. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Plik FRST.txt nie jest oryginalny - zapisałeś go ponownie do nowego pliku i zostało utracone kodowanie UTF-8 na rzecz ANSI (utrata specjalnych znaków). Nie kombinuj z raportami, dostarczaj to co wyprodukuje FRST. Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej - jest konieczna reinstalacja od zera. Od adware więcej obiektów widdocznych. A procesor jest obciążony, bo w systemie grasuje Bitcoin miner w postaci fałszywego "Steam" odpalanego via Harmonogram zadań. Stosowałeś HijackThis i interesuje mnie co usuwałeś za jego pomocą - to przestarzały program niekompatybilny z systemem 64-bit (pokazuje fałszywe "braki")! Akcje do wdrożenia: 1. Deinstalacje: ----> Przez panel sterowania odinstaluj adware/PUP: AnySend, bestadblocker, CPU Miner, SG Miner, Setup. Przed deinstalacją Google Chrome zresetuj synchronizację (o ile włączona): KLIK. Zaś przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. I na razie nie instaluj tej przeglądarki. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 mailUpdate; C:\ProgramData\MailUpdate\mailUpdate.exe [820736 2015-07-10] (Skytech Co., Ltd.) [File not signed] R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [61312 2015-06-16] (Word Surfer) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {802C3B20-BFA1-40C0-947A-F03103E28F03} - System32\Tasks\vXP876ljsOm => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe Task: {816184CE-16F4-41D0-8F6F-9A57B5408574} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe [2015-07-13] () Task: {8C09839F-6440-4FE6-8A0F-D018AEAEEDE9} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {B61FCB50-C923-4B21-B098-A380100B9969} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {E169DCBC-7500-4CE3-B56A-133DD2DF9897} - System32\Tasks\SpeakMore => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe [2015-07-13] () Task: {F477CA07-D3A1-4B63-B688-E10C543039DB} - \SmartWeb Upgrade Trigger Task No Task File Task: C:\Windows\Tasks\SpeakMore.job => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe Task: C:\Windows\Tasks\vXP876ljsOm.job => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe ShortcutWithArgument: C:\Users\Forma\Desktop\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Toolbar: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\ 1Button App for Chrome C:\Program Files (x86)\CCutThePricce C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google\Chrome C:\ProgramData\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c} C:\ProgramData\17927770879032528778 C:\ProgramData\MailUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Forma\AppData\Local\30175 C:\Users\Forma\AppData\Local\Google\Chrome C:\Users\Forma\AppData\Local\globalUpdate C:\Users\Forma\AppData\Local\SmartWeb C:\Users\Forma\AppData\Roaming\vXP876ljsOm C:\Users\Forma\AppData\Roaming\cpuminer C:\Users\Forma\AppData\Roaming\MailUpdate C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe C:\Users\Forma\Desktop\Continue Games Desktop.lnk C:\Users\Forma\Downloads\*(*)-dp*.exe C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\pss\crossbrowse.lnk.Startup C:\Windows\pss\SmartWeb.lnk.Startup C:\Windows\system32\cpuminer-conf.json C:\Windows\System32\drivers\wsafd_1_10_0_19.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\Forma\AppData\Roaming\Microsoft\Reversed CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gopibeko" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IHProtect Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\mailUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nilewohe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vicoqudu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wsasvc_1.10.0.19" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\zejytose" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: CTRL+SHIFT+E i na liście Rozszerzeń za pomocą X zlikwiduj CinemaPlus-3.2cV13.07. 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje. Odnośnik do komentarza
forman Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Wykonałem wszystkie wskazówki, Chrome śmiga, procesor się uspokoił, brak reklam i innych problemów na tą chwile. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 A mówiłam byś nie instalował jeszcze Google Chrome, bo czyszczenie nie zostało ukończone... Zadałam czyszczenie Opery, zdecydowałeś się postąpić inaczej deinstalując ją - niestety pozostał profil Opery na dysku z adware. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-871434758-139634626-509111008-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.hotsearches.info/?pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} C:\Users\Forma\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 C:\Users\Forma\AppData\Local\Opera Software C:\Users\Forma\AppData\Roaming\Opera Software C:\Users\Forma\AppData\Roaming\Microsoft\Reversed Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
forman Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Czytanie ze zrozumieniem zawiodło z powodu pospiechu.. Dziękuje za zaangażowanie. AdwCleanerR0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Brakuje pliku fixlog.txt z wynikami. Odnośnik do komentarza
forman Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Już na miejscu. Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2015 Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Mówiłam wyraźnie, by Fixlist zapisać w UTF-8. Nie zrobiłeś tego. Dlatego "chiński" wpis (wymagany UTF-8): C:\Users\Forma\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 ... został przerobiony na pytajniki (ANSI): C:\Users\Forma\AppData\Local??????????????????? FRST więc tego nie przetworzył. Kolejne poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń (nie pomyl tego z Odinstaluj). Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: C:\Users\Forma\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Forma\Downloads\delfix_1.010.exe CMD: del /q C:\Users\Forma\Downloads\ji6688gv.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
forman Opublikowano 14 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Wcześniej kodowałem , ale wykłócać się nie będę, może przypadkowo przerzuciłem w inne miejsce. Załączam świeże logi. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2015 Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Nie wiem co robiłeś, ale zawartość Fixlog mówi sama za siebie - pytajniki oznaczają, że zapisywano Fixlist w ANSI (znaki Unicode są tracone i przerabiane na pytajniki). Tym razem zadanie zostało wykonane. Ogólnie wszystko zrobione i możemy kończyć: Zastosuj DelFix, by usunąć resztę używanych narzędzi, oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
forman Opublikowano 14 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2015 Zastosowałem się do wskazówek , Podziwiam zaangażowanie i kulturalna pomoc, mało tego w dzisiejszych czasach. Dzięki wielkie ! Odnośnik do komentarza
Rekomendowane odpowiedzi