Kuba Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 Witam, Na laptopie mam zainstalowany system Windows 10Home x64. Od kilkunastu dni po uruchomieniu przeglądarki internetowej razem z wywoływaną stroną ładują się inne (playquiz..., bleeping, itd) przy próbach ściągania plików Np FRST, GMER ładują się strony, które chcą aby przed ściągnięciem pliku podać swój nr telefonu. Zrobiłem i załączam FIRST, podczas robienia GMERa wyskakuje komunikat: C:\Windows\system32\config\system:proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. po zignorowaniu go uruchamiam skanowanie i po kilku sek ukzuje się komunikat o kolejnym błędzie i wyskakuje bluescreen z komunikatem (Attempted write to readonly memory (win32k.sys). Kaspersky wyłączony, żadnych napędów wirtualnych). Niestety nie wiem co dalej dlatego proszę o pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 W systemie grasuje adware Wordinator. Następujące akcje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware istartsurf uninstall, Wordinator 1.10.0.19 oraz ASUSowe zbędniki ASUS WebStorage Sync Agent, AsusVibe2.0. - Klawisz z flagą Windows + X > Połączenia sieciowe > z prawokliku na każde obecne pobierz Właściwości > w karcie Sieć upewnij się że nie ma filtra Arcabit > jeśli jest, podświetl i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} HKU\S-1-5-21-777405041-3333386566-970987827-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-777405041-3333386566-970987827-1002\...\Run: [OFFICYNAMM_UPDATE] => C:\Users\Dyrekcja\AppData\Roaming\oficynamm\start.exe /exe oficynaup.exe HKU\S-1-5-21-777405041-3333386566-970987827-1002\...\Run: [KALG] => C:\Users\Dyrekcja\AppData\Roaming\oficynamm\start.exe /exe minical.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2015-02-11] R1 arcawfp; C:\Windows\System32\drivers\arcawfp.sys [60104 2015-07-06] (NetFilterSDK.com) C:\Windows\System32\drivers\arcawfp.sys Task: {22778577-6FB7-4E3B-B88B-EA6CADFFA47B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2ACA6ADB-538F-45D7-8A16-1545E6B10C99} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {593AD690-96CC-4523-AE17-2F6905EE89EC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5E73CCB7-2FE0-4EE5-AC73-CEA63FF8C31C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {806C1AA3-2EBE-4002-9789-9FB1691920B0} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {98FE147B-7CC4-4A53-8247-49953600DDE2} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {BCA70ED2-E34C-48EE-A6B9-3177E28962BF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\GWXTriggers Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KALG /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OFFICYNAMM_UPDATE /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Kuba Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 Wykonane, załączam pliki ze skanowania. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 Wszystko zrobione. Po adware został jeszcze aktywny sterownik (deinstalacja go nie zlikwidowała). Poprawki: 1. Otwórz Notatnik i wklej: R1 wfd_1_10_0_19; C:\Windows\System32\drivers\wfd_1_10_0_19.sys [57728 2015-06-16] (WN) Task: {6DC9F3F3-19E9-4271-B68A-53C4D70B3FD2} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe C:\AsusVibeData C:\Windows\System32\drivers\wfd_1_10_0_19.sys Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Kuba Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 FRST wykonane, AdwCleaner uruchomiłem ale nic nie usuwałem. Załączam 2 pliki AdwCleanerS1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Października 2015 Zgłoś Udostępnij Opublikowano 23 Października 2015 AdwCleaner nie będzie używany do usuwania. Ekwiwalenty akcji: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > upewnij się że Google jest ustawione jako domyślne i skasuj z listy istartsurf. 2. Otwórz Notatnik i wklej: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\miuitab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\Users\Dyrekcja\SupTab RemoveDirectory: C:\Users\Dyrekcja\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Kuba Opublikowano 23 Października 2015 Autor Zgłoś Udostępnij Opublikowano 23 Października 2015 Gotowe Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2015 Zgłoś Udostępnij Opublikowano 27 Października 2015 Akcja pomyślnie wykonana. Teraz: 1. Skasuj folder C:\Users\Dyrekcja\Desktop\FRST. Następnie zastosuj DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko dostarcz wyniki skanu. Odnośnik do komentarza
Kuba Opublikowano 29 Października 2015 Autor Zgłoś Udostępnij Opublikowano 29 Października 2015 Usunąłem katalog FRST i załączam log z Hitmana. Zmieniłem rozszerzenie na txt z rozszerzeniem log nie zezwalał na wysłanie. HitmanPro_20151027_1251.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2015 Zgłoś Udostępnij Opublikowano 29 Października 2015 1. Hitman wykrył tylko szczątki, jeden kluczyk adware oraz ciastka w przeglądarkach. Wszystko usuń za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Kuba Opublikowano 30 Października 2015 Autor Zgłoś Udostępnij Opublikowano 30 Października 2015 Dziękuję i pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi