dan19 Opublikowano 29 Września 2015 Zgłoś Udostępnij Opublikowano 29 Września 2015 Witam. Pare dni temu aktualizowałem system z Win8 do Win10. Problem pojawai się od dwóch dni a mianowicie po skanie Malwarebytes wyświetla informacje o znaleźeniu PUP.Optional.Linkury oraz PUP.Optional.Linkury.ShrtCln. Usuwam to i przy kolejnym skanie pojawia się to samo. Od czasu do czasu wyszukiwarka google przekierowuje mnie na SafeFinder z yahoo. Chciałem zrobic logi ale GMER coś blokuje i nie zaczyna nawet skanować. Odnośnik do komentarza
picasso Opublikowano 29 Września 2015 Zgłoś Udostępnij Opublikowano 29 Września 2015 Dostarcz raporty z FRST, GMER pomiń, a także raport z MBAM pokazujący wspominane detekcje. Odnośnik do komentarza
dan19 Opublikowano 29 Września 2015 Autor Zgłoś Udostępnij Opublikowano 29 Września 2015 W załączniku logi z FRST i raport Malware. Addition.txt FRST.txt Shortcut.txt malware.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2015 Zgłoś Udostępnij Opublikowano 29 Września 2015 MBAM wykrywa tylko folder adware, a nie jego wpisy startowe (usługa + AppInit_DLLs) i być może to jest przyczyna niemożności pełnego usunięcia. Przeprowadź następujące działania: 1. Z klawiatury klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Acrobat.com, Adobe AIR, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Driptax; C:\ProgramData\\Driptax\\Driptax.exe [441856 2015-09-20] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Driptax\Runair.dll => C:\ProgramData\Driptax\Runair.dll [883200 2015-09-26] () AppInit_DLLs-x32: C:\ProgramData\Driptax\Dombam.dll => C:\ProgramData\Driptax\Dombam.dll [738816 2015-09-26] () HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001 -> {8073BC3A-14B2-4591-A25F-F270CAD6D460} URL = CustomCLSID: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\MD\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {05022457-F664-4F1D-B0E9-925417F81FFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {311C6ABC-0922-466B-A48F-BD972885BB3F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {667C1D3C-4B61-4726-9F5D-C0A3ED909B0A} - System32\Tasks\{DE30885E-839E-44FF-8F5F-15173587157D} => pcalua.exe -a C:\Users\MD\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {6CEB1BFF-1E48-4F7C-901D-259D5DA272BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {86A613BD-4CF0-41BC-B386-6C6BC38BDA65} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87394EE6-B17C-445C-8937-DA2C8C652B02} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {9493304A-2109-4CA7-98BB-733A9E1BBA0E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {99FC16F4-C582-4AC4-939C-8FA899BA15D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9CBEDC04-61CC-4ACA-ACA9-2CE8E504BCA7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A143145B-DDDB-427F-AEA1-A24597C97CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C942D634-B20B-4B62-BA79-6ADCD286DABF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D6E4A09F-C8BC-424F-98E3-CB848B3DB473} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {E54A7DFE-CAE0-40A9-9151-2B3E4D3C271D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku C:\ProgramData\Driptax C:\ProgramData\TEMP Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dan19 Opublikowano 30 Września 2015 Autor Zgłoś Udostępnij Opublikowano 30 Września 2015 Witam. Przesyłam logi. Przy usuwaniu Adobe.Air deinstalacja się zawiesiła i przerwałem ale nie widze go nigdzie w programach do usuniecia więc chyba zostało odinstalowane. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2015 Zgłoś Udostępnij Opublikowano 30 Września 2015 Infekcja została pomyśnie usunięta, MBAM nie powinien nic już wykrywać, a przekierowania powinny ustać. Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu, oraz zainstaluj najnowszą Java (o ile w ogóle jest potrzebna): KLIK. Odnośnik do komentarza
dan19 Opublikowano 30 Września 2015 Autor Zgłoś Udostępnij Opublikowano 30 Września 2015 Dziękuje bardzo za pomoc !! Lece zasilić was jakimś datkiem. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi