MialPaw Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 Witam. Wczoraj czyściłem komputer kuzyna z syfu który mu się tutaj nazbierał. Mnóstwo reklam i ogólnie różnego rodzaju badziewie. Zacząłem od AdwCleaner, następnie puściłem Kaspersky Rescue Disc a po tym chciałem wszystko wyczyścić CCleanerem. W CCleanerze zwróciłem uwagę, że jest zainstalowany program "adblocker", i o ile się znam, to Adblock nie jest oddzielnym programem tylko wtyczką do przeglądarki. Nie mogłem tego usunąć zarówno w "Dodaj/usuń programy" jak i CCleanerem. Nie dostawałem przy tym żadnego komunikatu. Jakby przycisk nic nie robił. Było już późno i postanowiłem przyjść następnego dnia. Wiedziałem, że nie usunąłem wszystkiego ale dzisiaj patrze, a tutaj komputer jest w takim samym jak nie gorszym stanie niż poprzednio bo widzę jakieś nowe oprogramowanie. Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2015 Zgłoś Udostępnij Opublikowano 15 Lipca 2015 W systemie multum aktywnych obiektów adware (serwisy / sterowniki). Ponadto, jest tu notowany problem z Przywracaniem systemu, ale tym zajmę się później: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Check "winmgmt" service or repair WMI. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 Lhtomj120; C:\Windows\system32\Drivers\Lhtomj120.sys [24696 2015-07-13] () R1 Rymachdi120; C:\Windows\system32\Drivers\Rymachdi120.sys [24184 2015-07-13] () S4 hirjodces; C:\ProgramData\LokeEsul\vamewvoa.exe [188392 2015-07-13] () [File not signed] S4 Nanjeb; C:\ProgramData\LokeEsul\Nanjeb.exe [2075136 2015-07-13] () [File not signed] S4 SilpaPepsu; C:\ProgramData\LokeEsul\RoqkuJabl.exe [255464 2015-07-13] () [File not signed] S2 veuttedbhm; C:\ProgramData\LokeEsul\vameavoa.exe [501224 2015-07-13] () [File not signed] S4 zejytose; C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF\jnsbAACE.tmp [199168 2015-07-13] () [File not signed] S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rymachdi120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Nanjeb => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rymachdi120.sys => ""="Driver" HKLM-x32\...\Run: [gmsd_pl_005010031] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3352835992-2200029799-2272378979-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.istartsurf.com/?type=sc&ts=1436951838&z=85350da84dc97d0778a29fag3zdc7qftcw7gabbgaw&from=face&uid=395049983_1052515_6CDD971B CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-10] C:\Program Files (x86)\40ea84ae-5fdf-487f-b723-5612bdc177e1 C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\e5b1dbe0-b72f-41cb-9f4d-4aed7fb9881b C:\Program Files (x86)\GUT61FF.tmp C:\ProgramData\LokeEsul C:\Users\Olek\AppData\Local\5465 C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF C:\Users\Olek\AppData\Roaming\GoldenGate C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\system32\Nanjeb64.dll C:\Windows\system32\NanjebOff.ini C:\Windows\system32\Drivers\Lhtomj120.sys C:\Windows\system32\Drivers\Rymachdi120.sys C:\Windows\SysWOW64\Nanjeb.ini C:\Windows\SysWOW64\NanjebOff.ini C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Program Files (x86)\Windows 7 Activator Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ADEAC866-F3A5-48FA-8524-DD8AACA666F7} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opera jest zainfekowana adware. - W Operze CTRL+SHIFT+E i z listy rozszerzeń za pomocą iksa odinstaluj: CinemaP-1.9cV13.07, Filter Results. - Ponadto brak obecnie ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
MialPaw Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Wszystkie polecenia wykonane. Co prawda Avast wrzucał mi FRST do kwarantanny ale dodałem go do wyjątków i mogłem normalnie już przeskanować. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Wszystko pomyślnie przetworzone. Teraz przejdźmy do tego uszkodzonego Przywracania systemu. Wejdź do konfiguracji Przywracania: KLIK. Spróbuj zaznaczyć Ochronę dla dysku C i powiedz jaki ewentualnie błąd się pojawia podczas tej próby. Odczyt z uszkodzonym WMI to osobna sprawa i to będę próbować rozwiązywać, gdy się dowiem czy w ogóle da się zaznaczyć Ochronę. Co prawda Avast wrzucał mi FRST do kwarantanny ale dodałem go do wyjątków i mogłem normalnie już przeskanować. Niestety Avast (podobnie jak i parę innych antywirusów) ma błąd detekcji i klasyfikuje FRST jako "trojana". Problem był zgłaszany wiele razy do ekipy Avast. Niestety oni wykluczali program "po łebkach", tzn. na podstawie sumy kontrolnej MD5, a ta jest unikatowa tylko dla jednej wersji programu i się zmienia z każdą aktualizacją FRST. Czyli problem się ujawnia przy każdej nowej wersji FRST, a te często są wydawane w tempie kilka na tydzień. Autor się wkurzył i chciał nawet wprowadzić mechanizm blokady uruchomienia FRST na systemach z antywirusami Avast i Norton. Na szczęście ten pomysł nie został przeforsowany, bo to oznaczałoby multum problemów w prowadzeniu pomocy. Odnośnik do komentarza
MialPaw Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Jakiś dziwny jest ten system bo nawet nie mam tej zakładki. Co mam robić ? Edit1: Wiem że picasso jest niedostępna, ale cały syf z kompa mam już usunięty a zostało tylko naprawienie Przywracania systemu. Czy byłby ktoś w stanie udzielić mi odpowiedzi co mogę z tym zrobić ? Na załączonym screenie brakuje tej zakładki od przywracania systemu. Czy mogę to po prostu doinstalować jakoś? Z góry dziękuję za odpowiedź. Odnośnik do komentarza
Rekomendowane odpowiedzi