Barbaraaa1304 Opublikowano 5 Października 2015 Zgłoś Udostępnij Opublikowano 5 Października 2015 Witam, Niestety znów mam problem z systemem, otóż zainstalowałam program o nazwie prompt downloader, i zaraz po tym na ekranie pojawiły się reklamy i jakieś dziwne śmieci w systemie, nie można go ani zamknąć ani odinstalować, zmienił stronę startową i sam otwiera strony bez mojego udziału. Bardzo proszę o pomoc. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... logi.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 W systemie rzeczywiście widać mocno podejrzany zablokowany sterownik (w GMER jako "rootkit") oraz skomasowany atak adware. W pierwszej kolejności należy zdefiniować co to za "rootkit". Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Witam. Właśnie przeskanowałam tym programem i z tego co widziałam pisało że cos tam wykryło lecz nie podejmowałam żadnej akcji póki co. Załączam logi i czekam na dalsze instrukcje. TDSSKiller.3.1.0.5_06.10.2015_08.58.14_log.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Akcje zostały już podjęte w TDSSKiller - log twierdzi, że zostawiono domyślne akcje, zamiast przyznania Skip. TDSSKiller nie widzi tego zablokowanego obiektu, który GMER klasyfikuje jako "rootkit", a FRST nie potrafi do niego uzyskać dostępu. TDSSKiller wykrył inne rzeczy i nie będzie tu już używany do usuwania. Pierwsza porcja usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: E07249B R1 {b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64; C:\Windows\System32\drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys [48784 2015-10-05] (StdLib) R2 gyvixodu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\hnsaBF84.tmp [203776 2015-10-05] () [brak podpisu cyfrowego] R2 lehicewu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\jnskA760.tmp [181760 2015-10-05] () [brak podpisu cyfrowego] S2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-05] (TODO: ) R2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [460536 2015-10-05] () R2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [460536 2015-10-05] () R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [442504 2015-10-05] (DTools LIMITED) R2 WindowsMangerProtect; C:\ProgramData\9WinManPro9\ProtectWindowsManager.exe [708264 2015-08-17] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) R2 xoluboru; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\knspC6FD.tmp [346112 2015-10-05] () [brak podpisu cyfrowego] Task: {01850DB9-795D-41EE-B0C4-5242AD333CF9} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {02F0F047-DDAC-44D7-8045-BBC27642C325} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {047553BA-E03A-4B40-BA0C-1C825F0E77ED} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {07E80383-D18B-4AC8-9859-7AA9F4F050C5} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {45BE8743-9CC1-4E05-9ADA-83703A748B59} - System32\Tasks\MyBrowser => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe [2015-10-05] () Task: {47F8F3E7-CF9F-4F73-9C36-12DAC6B0EE0D} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {4A9F7F78-DA08-4683-81F9-EBA0BED42B79} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {6BA3F1A0-C70B-4B4C-95F2-B33CBCFBA75D} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {70ED1F79-0B60-4BD1-80F2-42B8EA1DB06A} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {748891BD-1EE0-4492-84C8-B787579ABEED} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe [2015-10-05] () Task: {826DF2FE-21CC-4C72-AA3C-A89A528F063F} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {A2EAEC6E-5D8D-4756-8725-D661EF00E3F1} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {A9E3407B-5730-4DF5-AA87-C6885D5E2F30} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\891\Updater.exe [2015-10-05] () Task: {BB72F97F-B528-437B-BDA2-7E156DBB84D3} - System32\Tasks\{28511603-1814-48B9-843A-AD3AD921E4E5} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {CE33C86C-9D85-436C-B85F-0AD03E841D75} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {D38A480F-DB11-4877-81A9-394D7D46A2D3} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {D5D6FA99-2EC1-4729-8BB3-B3F4AA2BBCE7} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {E53D6FE4-6B1D-4090-B03B-D36886CAFFC4} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\891\Updater.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe HKLM-x32\...\RunOnce: [update] => C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe [827339 2015-10-05] () HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_3C42015D2638AD59A9C14E09DD1E3050] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [770048 2015-05-11] (Crossbrowse) HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_707AB4DC4851505403C8FD2DF14CF292] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-05] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\deskCutv2@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1 C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WinManPro9 C:\ProgramData\tWdsManProt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\Users\Admin\AppData\Local\27DAD760-1444070982-11D9-BB64-5404A6A214B1 C:\Users\Admin\AppData\Local\891 C:\Users\Admin\AppData\Local\Prompt Downloader C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\Prompt Downloader C:\Windows\system32\Drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys C:\Windows\system32\Drivers\E07249B.sys C:\Windows\System32\Drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: AnySend, CinemaP-1.9cV05.10, CinemaPlus-3.2cV05.10, Crossbrowse, jogotempo 3.4, MyBrowser, Software Version Updater, Web Amplified, WordWizard 1.10.0.24. I czy Feed Notifier to była celowa instalacja? Jeśli coś nie będzie dało się odinstalować, nie szkodzi, zajmę się tym w inny sposób. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Ustaw Firefox jako domyślną przeglądarkę 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition i Shortcut, oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Witam ponownie! Otóz zrobiłam wszystko krok po kroku tak jak Pani opisała w poście powyżej, lecz istnieje problem. Gdy próbuję usunąć te adware z panelu sterowania -->programy funkcje ,wyskakuje mi okienko że nie da sie usunąć żadnego. Próbowałam każde z wymienionych przez Panią i pisze cały czas jeden,ten sam komunikat. W poście załaczam logi z wszystkich scanów i screena z komunikatem kiedy próbuje odinstalować adware. I mam jeszcze jedno pytanie, czy te śmieci co mam zainstalowane na komputerze mogą mieć jakiś wpływ na dzwięk ? Bo zauważyłam dzisiaj że przy słuchaniu muzyki na YouTube lub z Winampa w trakcie trwania piosenki dzwięk spowalnia i jest taki jakby "zniekształcony" po czym wraca do normalności,wcześniej tego nigdy nie miałam... Z góry dziękuje bardzo za odpowiedz. Fixlog.txtPobieranie informacji ... Gmer.txtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Większość obiektów adware pomyślnie usunięta (niektóre się zregenerowały), ale tu definitywnie nadal prace nas czekają. Cytat Gdy próbuję usunąć te adware z panelu sterowania -->programy funkcje ,wyskakuje mi okienko że nie da sie usunąć żadnego. Próbowałam każde z wymienionych przez Panią i pisze cały czas jeden,ten sam komunikat. W poście załaczam logi z wszystkich scanów i screena z komunikatem kiedy próbuje odinstalować adware. Po pierwsze, ten komunikat może rzeczywiście pochodzić z jakiegoś zawieszonego w tle procesu deinstalacji, który blokuje kolejne. Zresetuj system. Następnie uruchom Menedżer zadań i upewnij się że w procesach nie działa msiexec.exe lub jakiś inny proces mający nazwy sugerujące procesy (de)instalacyjne (np. setup.exe, uninstall.exe). Ewentualnie widoczne procesy zabij. Po drugie, widzę na obrazku, że w trakcie tego procesu reagował rezydent Dr. Web. Prawdopodobnie uszkodził któryś deinstalator "neutralizując zagrożenia". Spróbuj ponowić próbę deinstalacji przy wyłączonym Dr. Web, choć mam wątpliwości czy to coś da w obecnym stanie. Jeśli uda się przeprowadzić deinstalacje, zrób nowe raporty FRST. Jeśli nie, poprzednie logi są wystarczające do kontynuacji i zajmę się siłowym usunięciem programów. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Odinstalowałam Dr. Webba i zamknełam kilka procesów tak jak Pani pisała po czym ponownie próbowałam odinstalować wymienione przez Panią adware, tym razem z sukcesem! Udało się odinstalować co do jednego. Zalączam logi z FRST które zostały wykonane po odinstalowaniu tych "śmieci". Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Kolejna porcja zadań do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Crashhd; C:\Users\Admin\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-06] (TODO: ) R2 WdsManPro; C:\ProgramData\OWdsManProO\WdsManPro.exe [442504 2015-10-06] (DTools LIMITED) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76309459.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76309459.sys => ""="Driver" HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Feed Notifier RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\OWdsManProO RemoveDirectory: C:\Users\Admin\AppData\Local\Crsoft RemoveDirectory: C:\Users\Admin\AppData\Local\Google RemoveDirectory: C:\Users\Admin\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Admin\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web CMD: del /q C:\task.vbs CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\Admin\Desktop\dqhvz4gw.exe CMD: del /q C:\Users\Admin\Desktop\tdsskiller.exe CMD: del /q C:\Users\Admin\Downloads\mi0y0pdr.exe CMD: del /q C:\Users\Admin\Downloads\bkxhyn0q.exe CMD: del /q C:\Users\Admin\Downloads\q774qvyd.exe CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razem nieprzechodź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Zrobiłam wszystko, załaczam logi o które Pani prosiła. FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Za późno zedytowałam post i dwa zmodyfikowane przez hijackera skróty nie zostały naprawione. 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 RemoveDirectory: C:\ProgramData\9WdsManPro9 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Zamieszczam logi po ukończeniu wyżej wymienionych akcji. Fixlog.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 Podałaś mi jakiś potwornie stary log utworzony kilka lat temu przez archaiczną wersję AdwCleaner: # AdwCleaner v1.702 - Logfile created 07/17/2012 at 09:47:13 Dostarcz proszę najnowszy. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Hmmm nie rozumiem skąd ten log się tam wziął...Myślałam że to jest ten. Przepraszam za pomyłkę. Mam nadzieję że ten jest dobry. AdwCleanerS6.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 6 Października 2015 Zgłoś Udostępnij Opublikowano 6 Października 2015 AdwCleaner znalazł tylko szczątki. Do wykonania: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku alternatywne nieaktywne profile Firefox: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573 C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xxxzw0ev.default [Nie usuwaj przypadkiem folderu ujnazjox.default-1444154322471 - to jest Twój bieżący profil.] 2. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Skanuj + Usuń i dostarcz wynikowy log z usuwania. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 6 Października 2015 Autor Zgłoś Udostępnij Opublikowano 6 Października 2015 Log po zakończeniu skanowania + usuwanie.Czy to już koniec problemów? Czy zostało jeszcze coś do zrobienia ? Jeśli to już wszystko to bardzo dziękuje za udzieloną mi pomoc, teraz komputer śmiga i nie widać żadnych reklam itp... To też dzięki mojemu narzeczonemu mogłam skorzystać z Pani fachowej pomocy gdyż on polecił mi tą stronkę (sam z niej korzysta) Pozdrawiam serdecznie! AdwCleanerC2.txtPobieranie informacji ... Odnośnik do komentarza
marcin878787 Opublikowano 7 Października 2015 Zgłoś Udostępnij Opublikowano 7 Października 2015 Ja proponuje przeczytać ten temat - > https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ aby w przyszłości nie nabyć tak wszechobecnego adware. Proponuje Picasso aby umieściła link do tego tematu w swojej sygnaturze. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 7 Października 2015 Autor Zgłoś Udostępnij Opublikowano 7 Października 2015 Muszę przyznać że to dobry temat dla takich jak ja, co nie orientują się dobrze w tych stronkach i czasem nieświadomie ściągną jakieś śmieci wraz ze ściąganym programem (tak było w przypadku Prompt Downloader) sama sobie zafundowałam te wirusy i rootkita... Dlatego mam zamiar dokładnie poczytać ten temat co wyżej podałeś w linku. Przyda mi się większa wiedza na temat szkodliwego oprogramowania, żeby więcej sobie nie fundować takich "atrakcji". Odnośnik do komentarza
picasso Opublikowano 7 Października 2015 Zgłoś Udostępnij Opublikowano 7 Października 2015 Na zakończenie wykonaj te kroki: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. W Dzienniku zdarzeń jest drobny błąd WMI. Usuń go posługując się narzędziem Fix-it: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Dr. Web został odinstalowany, możesz go przywrócić. Odnośnik do komentarza
Barbaraaa1304 Opublikowano 7 Października 2015 Autor Zgłoś Udostępnij Opublikowano 7 Października 2015 Okej zrobione. Jeszcze raz serdecznie dziękuje za pomoc i poświęcony czas. Odnośnik do komentarza
Rekomendowane odpowiedzi