Problem z jakimś syfem w przeglądarkach typu Safe finder

[2zerozero7]

witam mam problem z jakimis syfami zerknie ktos na te logi ?

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Posty dla porządku skleiłam. Czekam jeszcze na GMER. Uzupełnij.

[2zerozero7]

zaraz wrzuce gmer skanuje sie

a takie pytanko mam jaka roznica jest miedzy logami z tych gmer oraz frst  a programem otl ? te sa bardziej profesjonalne czy to jedno i to samo ?

[picasso]

FRST - nowoczesny program który całkowicie zastępuje OTL i posiada o wiele więcej skanów niż OTL. OTL to archaiczna aplikacja, od kilku lat nie aktualizowana, w której są nieprawione błędy i braki. GMER jest specjalizowany w szukaniu ukrytych infekcji rootkit, programy typu FRST i OTL nie pracują na poziomie który umożliwia takie detekcje i mogą zostać oszukane.

[2zerozero7]

super :> dzieki za szybka odpowiedz

dodalem juz wszytkie pliki :> do pierwszego postu coby byl porzadek

[picasso]

Teraz odpowiadaj mi już w nowym poście, nie edytuj pierwszego.

 

W systemie jest aktywna usługa adware ihpmServer oraz moduł Zonzap. Ponadto, przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do tzw. "developerskiej" i jest konieczna jej reinstalacja od zera. Ostrzeżenie: poszukując rozwiązania ściągałeś lewy program SpyHunter, z daleka od niego.

 

Akcje do przeprowadzenia:

 

1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Adobe Reader XI (11.0.13) - Polish, Java 8 Update 25, RealPlayer oraz Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Nie instaluj na razie nowej wersji Chrome, bo w punkcie 2 będzie doczyszczenie obiektów Chrome.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] ()
S2 HP LaserJet Service; "C:\Program Files (x86)\HP\HPLaserJetService\HPLaserJetService.exe" [X]
S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a
S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S3 btmaudio; system32\drivers\btmaud.sys [X]
R4 DRIVER_B; \??\C:\Windows\system32\Drivers\DRIVER_BIN64 [X]
S1 eamonm; system32\DRIVERS\eamonm.sys [X]
S1 ehdrv; system32\DRIVERS\ehdrv.sys [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP4a\WNt500x64\Sandra.sys [X]
Task: {A97E93A2-7AB1-4977-86A5-8153A0075A52} - System32\Tasks\Update\cryptex => C:\Users\3ESC\AppData\Local\Temp\ariana.exe 
Task: {CFA6D06E-44A5-4B08-AD85-14828D5D23F5} - System32\Tasks\{02FBDBE5-A265-4551-BCA8-FB7EC1F07E55} => pcalua.exe -a "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.dat" -a uninstallme C3C273F6-495F-4859-81DC-3770706A41F2 DeviceId=bc7c933f-4576-a6e3-9e9f-81ec6eda0ba4 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
BootExecute: autocheck autochk * bootdeletesdnclean64.exe
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms}
HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord\firefox\ext
FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\3ESC\AppData\Roaming\Mozilla\Firefox\Profiles\jtz6kni7.default-1445466581999\extensions\deskCutv2@gmail.com => nie znaleziono
C:\$360Section
C:\Program Files\ConvertHelper3
C:\Program Files (x86)\360
C:\Program Files (x86)\Google
C:\Program Files (x86)\Iron Man Lego Adventures
C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins
C:\Program Files (x86)\RayDld
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\Program Files (x86)\Temp
C:\Program Files (x86)\UpgraderSystem
C:\Program Files\Common Files\WinPcapNmap.exe
C:\ProgramData\360Quarant
C:\ProgramData\TEMP
C:\ProgramData\SlimWare Utilities, Inc
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\Zonzap
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mIRC
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SoftMaker Office Professional 2012
C:\Users\3ESC\AppData\Local\*CIS*
C:\Users\3ESC\AppData\Local\48FD097A_stp
C:\Users\3ESC\AppData\Local\5C5FDFC1_stp
C:\Users\3ESC\AppData\Local\ESET
C:\Users\3ESC\AppData\Local\Opera Software
C:\Users\3ESC\AppData\Roaming\Opera Software
C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Office
C:\Users\3ESC\Downloads\SpyHunter-Installer.exe
C:\Users\3ESC\Downloads\YTDInstaller.exe
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Gość\Desktop\*.lnk
C:\Users\Public\Desktop\HP Print and Scan Doctor.lnk
C:\Windows\System32\Drivers\EpfwLWF.sys
C:\Windows\System32\Drivers\etc\hosts.*.backup
C:\Windows\System32\Tasks\Safer-Networking
C:\Windows\System32\Tasks\Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox (chodzi o ten normalny a nie wersję Tor na Pulpicie):

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Dopiero teraz możesz zainstalować najnowszą wersję Google Chrome. I po tym zrób nowe logi FRST z opcji Skanuj (Scan), zaznacz tylko pole Addition, Shortcut nie jest mi już potrzebny. Dostarcz oba logi wynikowe oraz plik fixlog.txt.

[2zerozero7]

dziekuje za obszerna instrukcjie zaraz zabieram sie do dzialania :>

 

 tak to wyglada po roocie

a odnosnie tego readera pdf adobe to cos innego zainstalowac czy moze byc ten sam aktualny ?

Addition po .txt

FRST po.txt

Fixlog.txt

[picasso]

Wszystko pomyślnie zrobione. Przestroga, co dopiero pobrałeś poniższy plik. To nie jest poprawny instalator tylko śmieć "Asystent pobierania" dobrychprogramów: KLIK.

2015-10-22 08:53 - 2015-10-22 08:53 - 00967296 _____ (Software ) C:\Users\3ESC\Downloads\Anvi-Startup-Booster-54224-dp.exe


Poprawki:

1. Google Chrome było reinstalowane od zera (po dokładnym usunięciu składników via Fix FRST), a tu w nowym logu już szkodliwa strona przycisku strony domowej w Google Chrome. Czy na pewno wykonałeś to:
 

Zresetuj synchronizację (o ile włączona): KLIK.

I wyczyść tę stronę: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień > usuń widoczny tam adres.

2. Otwórz Notatnik i wklej w nim:

S2  AnviStartupTime; C:\Program Files (x86)\Anvisoft\StartupBooster\StartupTimeSrv.exe [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Anvisoft
RemoveDirectory: C:\ProgramData\Anvisoft
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anvisoft
RemoveDirectory: C:\Users\3ESC\AppData\Roaming\Real
RemoveDirectory: C:\Users\3ESC\Desktop\mbar
CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe"
CMD: del /q C:\Users\3ESC\Desktop\Rkill.txt
CMD: del /q C:\Users\3ESC\Downloads\*-dp*.exe
CMD: del /q C:\Users\3ESC\Downloads\ChromeSetup*.exe
CMD: del /q C:\Users\3ESC\Downloads\eset_*.exe
CMD: del /q C:\Users\3ESC\Downloads\mbar-1.09.3.1001.exe
CMD: del /q C:\Users\3ESC\Downloads\OTL*.exe
CMD: del /q C:\Users\3ESC\Downloads\rkill.exe
CMD: del /q C:\Users\3ESC\Downloads\subsetup.exe
CMD: del /q C:\Users\3ESC\Downloads\tdsskiller.exe
Reg: reg delete "HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi już potrzebny.

 

a odnosnie tego readera pdf adobe to cos innego zainstalowac czy moze byc ten sam aktualny ?

To na końcu. Detale są w przyklejonym, albo najnowsza wersja DC, albo minimalizm SumatraPDF: KLIK.

[2zerozero7]

u mnie raczej synchronizacja byla wylaczona nie mam ani loginu ani hasla do synchronizacji
wogole nie ma tam takiej opcji o odlaczeniu lub podaczenieu konta dopiero pewnie po zalogowaniu sie to pojawia a ja wogole z kompa nie loguje sie na konto google

 

juz zainstalowalem najnowszy Acrobat Reader DC

[picasso]

OK, synchronizacja może być nieczynna, nie wiem więc skąd ta strona wskoczyła. Wyczyść ją wg instrukcji i dostarcz wynikowy fixlog.txt. Podsumuj też czy są jeszcze jakieś problemy widoczne.

[2zerozero7]

oto ostateczny fixlog

 

nie mam juz zadnych widocznych problemow ani na firefox ktorego uzywam non stop ani chrome ktorego uzywam sporadycznie

Fixlog.txt

[picasso]

Wszystko pomyślnie wykonane. Kończymy:

 

1. Usuń pobrane narzędzia i ich raporty z folderu C:\Users\3ESC\Videos\Nowy folder. Jeszcze dla pewności popraw narzędziem DelFix.

 

2. Wyczyść foldery Przywracania systemu oraz zainstaluj IE11, co jest również opisane pod w/w linkiem.

[2zerozero7]

dziekuje bardzo za pomoc