Barbaraaa1304 Opublikowano 5 Października 2015 Zgłoś Udostępnij Opublikowano 5 Października 2015 Witam, Niestety znów mam problem z systemem, otóż zainstalowałam program o nazwie prompt downloader, i zaraz po tym na ekranie pojawiły się reklamy i jakieś dziwne śmieci w systemie, nie można go ani zamknąć ani odinstalować, zmienił stronę startową i sam otwiera strony bez mojego udziału. Bardzo proszę o pomoc. Addition.txt FRST.txt logi.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 W systemie rzeczywiście widać mocno podejrzany zablokowany sterownik (w GMER jako "rootkit") oraz skomasowany atak adware. W pierwszej kolejności należy zdefiniować co to za "rootkit". Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Witam. Właśnie przeskanowałam tym programem i z tego co widziałam pisało że cos tam wykryło lecz nie podejmowałam żadnej akcji póki co. Załączam logi i czekam na dalsze instrukcje. TDSSKiller.3.1.0.5_06.10.2015_08.58.14_log.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Akcje zostały już podjęte w TDSSKiller - log twierdzi, że zostawiono domyślne akcje, zamiast przyznania Skip. TDSSKiller nie widzi tego zablokowanego obiektu, który GMER klasyfikuje jako "rootkit", a FRST nie potrafi do niego uzyskać dostępu. TDSSKiller wykrył inne rzeczy i nie będzie tu już używany do usuwania. Pierwsza porcja usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: E07249B R1 {b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64; C:\Windows\System32\drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys [48784 2015-10-05] (StdLib) R2 gyvixodu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\hnsaBF84.tmp [203776 2015-10-05] () [brak podpisu cyfrowego] R2 lehicewu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\jnskA760.tmp [181760 2015-10-05] () [brak podpisu cyfrowego] S2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-05] (TODO: ) R2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [460536 2015-10-05] () R2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [460536 2015-10-05] () R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [442504 2015-10-05] (DTools LIMITED) R2 WindowsMangerProtect; C:\ProgramData\9WinManPro9\ProtectWindowsManager.exe [708264 2015-08-17] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) R2 xoluboru; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\knspC6FD.tmp [346112 2015-10-05] () [brak podpisu cyfrowego] Task: {01850DB9-795D-41EE-B0C4-5242AD333CF9} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {02F0F047-DDAC-44D7-8045-BBC27642C325} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {047553BA-E03A-4B40-BA0C-1C825F0E77ED} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {07E80383-D18B-4AC8-9859-7AA9F4F050C5} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {45BE8743-9CC1-4E05-9ADA-83703A748B59} - System32\Tasks\MyBrowser => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe [2015-10-05] () Task: {47F8F3E7-CF9F-4F73-9C36-12DAC6B0EE0D} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {4A9F7F78-DA08-4683-81F9-EBA0BED42B79} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {6BA3F1A0-C70B-4B4C-95F2-B33CBCFBA75D} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {70ED1F79-0B60-4BD1-80F2-42B8EA1DB06A} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {748891BD-1EE0-4492-84C8-B787579ABEED} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe [2015-10-05] () Task: {826DF2FE-21CC-4C72-AA3C-A89A528F063F} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {A2EAEC6E-5D8D-4756-8725-D661EF00E3F1} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {A9E3407B-5730-4DF5-AA87-C6885D5E2F30} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\891\Updater.exe [2015-10-05] () Task: {BB72F97F-B528-437B-BDA2-7E156DBB84D3} - System32\Tasks\{28511603-1814-48B9-843A-AD3AD921E4E5} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {CE33C86C-9D85-436C-B85F-0AD03E841D75} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {D38A480F-DB11-4877-81A9-394D7D46A2D3} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {D5D6FA99-2EC1-4729-8BB3-B3F4AA2BBCE7} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {E53D6FE4-6B1D-4090-B03B-D36886CAFFC4} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\891\Updater.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe HKLM-x32\...\RunOnce: [update] => C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe [827339 2015-10-05] () HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_3C42015D2638AD59A9C14E09DD1E3050] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [770048 2015-05-11] (Crossbrowse) HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_707AB4DC4851505403C8FD2DF14CF292] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-05] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\deskCutv2@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1 C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WinManPro9 C:\ProgramData\tWdsManProt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\Users\Admin\AppData\Local\27DAD760-1444070982-11D9-BB64-5404A6A214B1 C:\Users\Admin\AppData\Local\891 C:\Users\Admin\AppData\Local\Prompt Downloader C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\Prompt Downloader C:\Windows\system32\Drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys C:\Windows\system32\Drivers\E07249B.sys C:\Windows\System32\Drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: AnySend, CinemaP-1.9cV05.10, CinemaPlus-3.2cV05.10, Crossbrowse, jogotempo 3.4, MyBrowser, Software Version Updater, Web Amplified, WordWizard 1.10.0.24. I czy Feed Notifier to była celowa instalacja? Jeśli coś nie będzie dało się odinstalować, nie szkodzi, zajmę się tym w inny sposób. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Ustaw Firefox jako domyślną przeglądarkę 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition i Shortcut, oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Witam ponownie! Otóz zrobiłam wszystko krok po kroku tak jak Pani opisała w poście powyżej, lecz istnieje problem. Gdy próbuję usunąć te adware z panelu sterowania -->programy funkcje ,wyskakuje mi okienko że nie da sie usunąć żadnego. Próbowałam każde z wymienionych przez Panią i pisze cały czas jeden,ten sam komunikat. W poście załaczam logi z wszystkich scanów i screena z komunikatem kiedy próbuje odinstalować adware. I mam jeszcze jedno pytanie, czy te śmieci co mam zainstalowane na komputerze mogą mieć jakiś wpływ na dzwięk ? Bo zauważyłam dzisiaj że przy słuchaniu muzyki na YouTube lub z Winampa w trakcie trwania piosenki dzwięk spowalnia i jest taki jakby "zniekształcony" po czym wraca do normalności,wcześniej tego nigdy nie miałam... Z góry dziękuje bardzo za odpowiedz. Fixlog.txt Gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Większość obiektów adware pomyślnie usunięta (niektóre się zregenerowały), ale tu definitywnie nadal prace nas czekają. Gdy próbuję usunąć te adware z panelu sterowania -->programy funkcje ,wyskakuje mi okienko że nie da sie usunąć żadnego. Próbowałam każde z wymienionych przez Panią i pisze cały czas jeden,ten sam komunikat. W poście załaczam logi z wszystkich scanów i screena z komunikatem kiedy próbuje odinstalować adware. Po pierwsze, ten komunikat może rzeczywiście pochodzić z jakiegoś zawieszonego w tle procesu deinstalacji, który blokuje kolejne. Zresetuj system. Następnie uruchom Menedżer zadań i upewnij się że w procesach nie działa msiexec.exe lub jakiś inny proces mający nazwy sugerujące procesy (de)instalacyjne (np. setup.exe, uninstall.exe). Ewentualnie widoczne procesy zabij. Po drugie, widzę na obrazku, że w trakcie tego procesu reagował rezydent Dr. Web. Prawdopodobnie uszkodził któryś deinstalator "neutralizując zagrożenia". Spróbuj ponowić próbę deinstalacji przy wyłączonym Dr. Web, choć mam wątpliwości czy to coś da w obecnym stanie. Jeśli uda się przeprowadzić deinstalacje, zrób nowe raporty FRST. Jeśli nie, poprzednie logi są wystarczające do kontynuacji i zajmę się siłowym usunięciem programów. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Odinstalowałam Dr. Webba i zamknełam kilka procesów tak jak Pani pisała po czym ponownie próbowałam odinstalować wymienione przez Panią adware, tym razem z sukcesem! Udało się odinstalować co do jednego. Zalączam logi z FRST które zostały wykonane po odinstalowaniu tych "śmieci". Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Kolejna porcja zadań do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Crashhd; C:\Users\Admin\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-06] (TODO: ) R2 WdsManPro; C:\ProgramData\OWdsManProO\WdsManPro.exe [442504 2015-10-06] (DTools LIMITED) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76309459.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76309459.sys => ""="Driver" HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Feed Notifier RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\OWdsManProO RemoveDirectory: C:\Users\Admin\AppData\Local\Crsoft RemoveDirectory: C:\Users\Admin\AppData\Local\Google RemoveDirectory: C:\Users\Admin\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Admin\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web CMD: del /q C:\task.vbs CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\Admin\Desktop\dqhvz4gw.exe CMD: del /q C:\Users\Admin\Desktop\tdsskiller.exe CMD: del /q C:\Users\Admin\Downloads\mi0y0pdr.exe CMD: del /q C:\Users\Admin\Downloads\bkxhyn0q.exe CMD: del /q C:\Users\Admin\Downloads\q774qvyd.exe CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razem nieprzechodź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Zrobiłam wszystko, załaczam logi o które Pani prosiła. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Za późno zedytowałam post i dwa zmodyfikowane przez hijackera skróty nie zostały naprawione. 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 RemoveDirectory: C:\ProgramData\9WdsManPro9 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Zamieszczam logi po ukończeniu wyżej wymienionych akcji. Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Podałaś mi jakiś potwornie stary log utworzony kilka lat temu przez archaiczną wersję AdwCleaner: # AdwCleaner v1.702 - Logfile created 07/17/2012 at 09:47:13 Dostarcz proszę najnowszy. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Hmmm nie rozumiem skąd ten log się tam wziął...Myślałam że to jest ten. Przepraszam za pomyłkę. Mam nadzieję że ten jest dobry. AdwCleanerS6.txt Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 AdwCleaner znalazł tylko szczątki. Do wykonania: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku alternatywne nieaktywne profile Firefox: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573 C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xxxzw0ev.default [Nie usuwaj przypadkiem folderu ujnazjox.default-1444154322471 - to jest Twój bieżący profil.] 2. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Skanuj + Usuń i dostarcz wynikowy log z usuwania. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Log po zakończeniu skanowania + usuwanie.Czy to już koniec problemów? Czy zostało jeszcze coś do zrobienia ? Jeśli to już wszystko to bardzo dziękuje za udzieloną mi pomoc, teraz komputer śmiga i nie widać żadnych reklam itp... To też dzięki mojemu narzeczonemu mogłam skorzystać z Pani fachowej pomocy gdyż on polecił mi tą stronkę (sam z niej korzysta) Pozdrawiam serdecznie! AdwCleanerC2.txt Odnośnik do komentarza
marcin878787 Opublikowano 7 Października 2015 Zgłoś Udostępnij Opublikowano 7 Października 2015 Ja proponuje przeczytać ten temat - > https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ aby w przyszłości nie nabyć tak wszechobecnego adware. Proponuje Picasso aby umieściła link do tego tematu w swojej sygnaturze. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 7 Października 2015 Autor Zgłoś Udostępnij Opublikowano 7 Października 2015 Muszę przyznać że to dobry temat dla takich jak ja, co nie orientują się dobrze w tych stronkach i czasem nieświadomie ściągną jakieś śmieci wraz ze ściąganym programem (tak było w przypadku Prompt Downloader) sama sobie zafundowałam te wirusy i rootkita... Dlatego mam zamiar dokładnie poczytać ten temat co wyżej podałeś w linku. Przyda mi się większa wiedza na temat szkodliwego oprogramowania, żeby więcej sobie nie fundować takich "atrakcji". Odnośnik do komentarza
picasso Opublikowano 7 Października 2015 Zgłoś Udostępnij Opublikowano 7 Października 2015 Na zakończenie wykonaj te kroki: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. W Dzienniku zdarzeń jest drobny błąd WMI. Usuń go posługując się narzędziem Fix-it: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Dr. Web został odinstalowany, możesz go przywrócić. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 7 Października 2015 Autor Zgłoś Udostępnij Opublikowano 7 Października 2015 Okej zrobione. Jeszcze raz serdecznie dziękuje za pomoc i poświęcony czas. Odnośnik do komentarza
Rekomendowane odpowiedzi