IQM Opublikowano 22 Września 2015 Zgłoś Udostępnij Opublikowano 22 Września 2015 Witam, bardzo proszę o pomoc. Non stop wyskakują niechciane strony internetowe i blokowane adresy w ogromnych ilościach. Poniżej log http://wklej.org/id/1801687/ http://wklej.org/id/1801685/ http://wklej.org/id/1801686/ Z góry ogromne dzięki. Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Stosowałeś wiele programów czyszczących (AdwCleaner, JRT, ComboFix), z żadnego nie ma raportów co było usuwane. Obecnie widzę tu tylko rozszerzenie adware CinemaP-1.9cV18.09 w przeglądarce Google Chrome. Do przeprowadzenia następujące operacje: 1. Przez Panel sterowania odinstaluj starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Java 8 Update 51, Adobe Reader XI (11.0.12). 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV18.09 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> URL hxxp://www.trovigo.com/Results.aspx?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP75585FC2-946A-47A5-9406-9539259CBA05&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {06222C97-6E66-4EEF-B923-7532FC9AF232} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {12787241-90B8-4CB1-9B8C-8BD30CC06552} - System32\Tasks\{ED5008F4-A0F3-492A-8BC2-36443B1B6EEC} => pcalua.exe -a C:\Users\Gur1\Desktop\TL-WN422G_v2_100611\Setup.exe -d C:\Users\Gur1\Desktop\TL-WN422G_v2_100611 Task: {A633CE49-F393-439C-80CE-7407FEC241B2} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Users\Gur1\AppData\Local\Mozilla C:\Users\Gur1\AppData\Local\Opera Software C:\Users\Gur1\AppData\Roaming\BitComet C:\Users\Gur1\AppData\Roaming\Mozilla C:\Users\Gur1\AppData\Roaming\Opera Software C:\Users\Gur1\AppData\Roaming\QUJreDgXLf C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi304666634142286040\a%20di%20alessi.csv.lnk C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi%20(1)304671013666581531\a%20di%20alessi%20(1).csv.lnk C:\Users\Gur1\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Gur1\Downloads\Niepotwierdzony*.crdownload C:\Users\Gur1\Links\GG dysk.lnk C:\Users\Gur1\Favorites\GG dysk.lnk C:\Windows\AutoKMS C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Gur1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje problem reklam. Odnośnik do komentarza
Strzelczanin Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 @picasso co wskazuje że należy usuwać te wpisy. Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Klucze Mozilla (oraz foldery Mozilla) - usuwanie odpadków po odinstalowanym Firefox. Firefox był kiedyś, bo FRST wykrył profil na dysku. Obecnie nie jest w ogóle zainstalowany (co widać w Addition + Shortcut). Przy czym należy zaznaczyć, że klucze MozillaPlugins powstają niezależnie od tego czy Firefox w ogóle był zainstalowany, programy zewnętrzne tworzą te klucze "na zapas", by Firefox instalowany w późniejszym czasie znalazł wtyczki. Czasem omijam usuwanie tych kluczy, jeśli są najnowsze wersje wtyczek "przygotowane". Klucze Main + SearchScopes - popatrz na SID kont z których usuwam (S-1-5-18, S-1-5-19, S-1-5-20). To specjalne konta wbudowane w system, na których nie powinno być ustawień tego typu. Tu usuwam, bo był uruchomiony ComboFix, którego resety nie są do końca "domyślne" i dorobił zbędne ustawienia conajmniej w Main. Obie akcje kosmetyczne. Odnośnik do komentarza
Strzelczanin Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 (edytowane) Dziękuje i pozdrawiam Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi