MinouNoir Opublikowano 27 Września 2015 Zgłoś Udostępnij Opublikowano 27 Września 2015 Proszę o pomoc w pozbyciu się uporczywych reklam uniemożliwiających działanie przeglądarki, wyskakują praktycznie przy każdym kliknięciu (w nowym oknie, w nowej karcie, po krótkim pobycie na stronie jako wysuwające się paski reklam). Usunęłam wszystkie dodatki z przeglądarki, podejrzane programy w panelu sterowania, nawet te, które rzadko używałam, przeskanowałam Malwarebyte i AdwCleanerem. Shortcut.txt Addition.txt FRST.txt gmer.txt Odnośnik do komentarza
Nevan Opublikowano 27 Września 2015 Zgłoś Udostępnij Opublikowano 27 Września 2015 W logach widać adware ukryte w przeglądarce Firefox, którego nie da się usunąć z poziomu przeglądarki. Poza tym, jest tutaj o wiele większy problem, mianowicie bad sectory dysku: Error: (09/27/2015 02:22:35 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku C:\Windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2179028663-250209256-2853322924-1001-12288.dat z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program Proces hosta dla usług systemu Windows z powodu tego błędu. Error: (09/27/2015 02:21:17 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Dysk najprawdopodobniej kwalifikuje się do wymiany. Załóż nowy temat w dziale Hardware na temat tego problemu z dyskiem, pamiętając o zasadach tego działu. Co do problemu infekcji: 1. Przez Panel sterowania odinstaluj stare wersje programów: Java 8 Update 45; Java 8 Update 51; FileZilla Client 3.9.0.6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2179028663-250209256-2853322924-1001\...\MountPoints2: G - G:\autorun.exe HKU\S-1-5-21-2179028663-250209256-2853322924-1001\...\MountPoints2: {56b72ff8-eaba-11e4-8bcb-0016d4cf759f} - E:\AutoRun.exe HKU\S-1-5-21-2179028663-250209256-2853322924-1001\...\MountPoints2: {71527733-931a-11e4-b470-0016d4cf759f} - E:\AutoRun.exe HKU\S-1-5-21-2179028663-250209256-2853322924-1001\...\MountPoints2: {c7651f2c-8dba-11e4-8c9a-0016d4cf759f} - F:\AutoRun.exe HKU\S-1-5-21-2179028663-250209256-2853322924-1001\...\MountPoints2: {c7651f3c-8dba-11e4-8c9a-0016d4cf759f} - E:\AutoRun.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Startup: C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download MAXON Cinema 4D R14 Studio FULL (32_64BIT) (UncworldStoreVers) Torrent - KickassTorrents.lnk [2015-04-21] ShortcutTarget: Download MAXON Cinema 4D R14 Studio FULL (32_64BIT) (UncworldStoreVers) Torrent - KickassTorrents.lnk -> C:\ProgramData\{37a580dd-3d99-cdc7-37a5-580dd3d90374}\Download MAXON Cinema 4D R14 Studio FULL (32_64BIT) (UncworldStoreVers) Torrent - KickassTorrents.exe (Brak pliku) Startup: C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\porteng.part01.rar.lnk [2015-04-11] ShortcutTarget: porteng.part01.rar.lnk -> C:\ProgramData\{00deadf1-c816-dc02-00de-eadf1c81b7c7}\porteng.part01.rar.exe (Brak pliku) CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-2179028663-250209256-2853322924-1001\SOFTWARE\Policies\Google: Ograniczenia FF Extension: FreshApp - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\bycgueiqykopirsf@fqnlfpgi_gsxirorjzd.edu [2015-09-27] FF Extension: RandomApp - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\gjvjozpkafwzcgtb_d@bbnpzbbwtotmvxp.org [2015-09-27] FF Extension: AwsomeExt - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\kdqcdyimwkqdfhpsdbc@lsdbngumixrkof.org [2015-09-27] FF Extension: DiscountMan - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\pcy_audizdzu_id@ibjsobfwyxxmjdyutfd.edu [2015-09-27] FF Extension: StartCoup - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\qokvwcivzdre@vhlguduqpgrxadnikjw.org [2015-09-27] FF Extension: AwsomeExt - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\ushswryj_dudlxlqh_n@prywgucjn_rg.com [2015-09-27] FF Extension: DiscountMan - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\uykenbwwodomrzhecht@vzyynerrodloxmv.org [2015-09-27] FF Extension: CoupMania - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\wqetswbktmry_h_i@vids_ejjcqvzp_.edu [2015-09-27] FF Extension: AllDealAAppp - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\WrjwVt0XXU@s.org [2015-09-27] FF Extension: DiscountMan - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\xvwomazoocia@xmpmiznhnocqsr.com [2015-09-27] FF Extension: CoupMania - C:\Users\Klaudia\AppData\Roaming\Mozilla\Firefox\Profiles\vrihxjig.dev-edition-default\Extensions\ycrshevraaa_sovi@vilfmwfwzmxlofj.edu [2015-09-27] Task: {88725AD8-4175-4993-83F7-94565206FF06} - System32\Tasks\UnliStorage => c:\programdata\{000cee73-8c12-0d47-000c-cee738c1b9ce}\breaking-bad-end-times-pol-6079270.exe Task: {B2DD3662-36BD-41D1-8D3B-11C9819CC416} - System32\Tasks\AlphaKeys => c:\programdata\{5cb4ec12-cd9d-29a0-5cb4-4ec12cd9b04b}\4766039530956882977b.exe Task: {FE65CDA8-34E3-4031-A06E-EAE443A7E095} - System32\Tasks\{F79F9BC1-F1B1-4D6E-A5ED-BB6957DA0618} => pcalua.exe -a C:\Users\Klaudia\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL Task: C:\Windows\Tasks\AlphaKeys.job => c:\programdata\{5cb4ec12-cd9d-29a0-5cb4-4ec12cd9b04b}\4766039530956882977b.exe Task: C:\Windows\Tasks\UnliStorage.job => c:\programdata\{000cee73-8c12-0d47-000c-cee738c1b9ce}\breaking-bad-end-times-pol-6079270.exe c:\programdata\{000cee73-8c12-0d47-000c-cee738c1b9ce} c:\programdata\{5cb4ec12-cd9d-29a0-5cb4-4ec12cd9b04b} Folder: C:\Program Files (x86)\Dashing Debt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Przeinstaluj Google Chrome, które zostało przestawione na tryb "development": Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
MinouNoir Opublikowano 27 Września 2015 Autor Zgłoś Udostępnij Opublikowano 27 Września 2015 Po wykonaniu dwóch pierwszych punktów problem zniknął, zrobiłam 3, miałam problem z 4, bo Chrome dawno odinstalowałam, ale gdzieś tam jeszcze coś zostało (chyba, że ja po prostu nie umiem tego zrobić). Zrobiłam tak: First download remove-chrome.zip from "here" Open remove-chrome.zip and you will find a registry key file named remove.reg. Extract this file. Now, double-click on the remove.reg file that you have just extracted. In the confirmation window to import the file, click on Yes. Then click on OK. Now, Go to the Start menu > Run. Alternatively press Windows + R to open the Run… dialogue box. Enter one of the following commands in the text field, according to your operating system: For Windows XP users:%USERPROFILE%\Local Settings\Application Data\Google For Windows Vista/Windows 7 users:%LOCALAPPDATA%\Google Now delete the Chrome’ folder in the directory that opens up to completely uninstall Google Chrome. Chyba nie za mądrze, ale nie znalazłam niczego innego. Nie instalowałam ponownie Chrome, bo mi nie potrzebna, chyba że to konieczne to proszę o informację. Fixlog.txt FRST.txt Odnośnik do komentarza
Nevan Opublikowano 28 Września 2015 Zgłoś Udostępnij Opublikowano 28 Września 2015 (edytowane) Chrome dawno odinstalowałam, ale gdzieś tam jeszcze coś zostało (chyba, że ja po prostu nie umiem tego zrobić). Zrobiłam tak: Na przyszłość staraj się nie robić nic na własną rękę. Tutaj akurat nic się nie stało, ale bywają gorsze przypadki. Do wdrożenia drobne poprawki. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download MAXON Cinema 4D R14 Studio FULL (32_64BIT) (UncworldStoreVers) Torrent - KickassTorrents.lnk [2015-04-21] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] 2015-09-27 21:32 - 2015-09-27 21:32 - 00000752 _____ C:\Users\Klaudia\Downloads\remove-chrome.zip 2015-09-27 21:32 - 2012-05-28 19:49 - 00001537 _____ C:\Users\Klaudia\Downloads\remove.reg 2015-09-27 13:34 - 2015-07-09 14:43 - 00000000 ____D C:\Program Files (x86)\Dashing Debt FirewallRules: [{16960DB6-EB0C-4180-B362-D3548FF44707}] => (Allow) C:\Users\Klaudia\Downloads\Download_porteng_part01_rar_downloader.exe FirewallRules: [{5506E06B-BDF0-4D35-AB40-791ADBBB7C7D}] => (Allow) C:\Users\Klaudia\Downloads\Download_porteng_part01_rar_downloader.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi