bartuss23 Opublikowano 2 Listopada 2015 Zgłoś Udostępnij Opublikowano 2 Listopada 2015 Witam, widzę, że na forum już co najmniej jedna osoba miała podobny problem. Komputer został zainfekowany zapewne przy ściąganiu czegoś z internetu. Zerkniesz na te logi ? Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 2 Listopada 2015 Zgłoś Udostępnij Opublikowano 2 Listopada 2015 Jest tu więcej odpadków adware niż tylko tytułowy "Zonzap". Poza tym, działa w tle stary ESET (sterowniki z 2012). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Reader 9.4.5, Browser Configuration Utility, ESET NOD32 Antivirus, Flvto Youtube Downloader, Java 6 Update 26, Java 7 Update 5 (64-bit), Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDfNP0ZX3ByO0tHKDfVsYLToNtoieXwnKc-KqXBPgiOb-UGAyw2-G-r8vYm3jYjsP_2SI861Rc4pw,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDTbOQgkgmXRi-1zgdZQ6VFLMH3CYjvnfaAyvAj6tSrE8YieRSKQIFZ5xRFp_2-ayPs9wcu_DjjuA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLwX1TOY8ue_Hl-LyF-4VTJEycX4ilzuSCw2zkLzfQ-MCy3Uhd4aULtdEel1mgFxgMglpuHQ5ylTNA,, HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {00015CD2-5EB1-4141-9B72-FC74E586A143} URL = hxxp://searchhub.eu?q={searchTerms}&ib=&hl=pl SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = hxxp://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60446 SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B2DBAFC3-4A83-4c09-A6C8-1C550DF9DE1C} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B7C32196-D1D4-4a50-9B10-0AEFD5E49D68} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - Brak pliku Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku FF Plugin HKU\S-1-5-21-2615079214-517858906-3610730154-1000: ubisoft.com/uplaypc -> D:\The Settlers 7 - Droga do królestwa\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku] AppInit_DLLs: C:\ProgramData\Zonzap\TempHotin.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Zonzap\Drip-Cof.dll => Brak pliku S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BootExecute: autocheck autochk * Task: {3795C075-8754-41FF-A7A5-712A11A1247C} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {991F7F7F-133D-4684-A7BD-F1B1B6A377E5} - System32\Tasks\{E55F1275-4D3F-4AB0-8BE1-3C4B9B9D3767} => pcalua.exe -a "D:\Call of Duty Black Ops II\t6sp.exe" -d "D:\Call of Duty Black Ops II" Task: {CFF064EE-0468-4131-B5FC-A602568804DD} - System32\Tasks\ASUS\ASUS SIX Engine => C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe Task: {D519A615-77E5-44AB-B918-4E7FD9ECF511} - System32\Tasks\{F4F508E4-5D6A-4B6A-8952-C63FE9436913} => pcalua.exe -a J:\autorun.exe -d J:\ Task: {E43E36CC-C3FC-4BD9-80B8-EFBA968501CA} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {EDADADEA-85F5-4978-9DE5-84A21404A7AE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET) HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\Users\Marek\Programer Faktura.lnk C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Web C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Reader C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\Users\Marek\Desktop\GRY\Sid Meiers Civilization V.lnk C:\Users\Marek\Desktop\GRY\Silent Hunter 5.lnk C:\Users\Marek\Desktop\PROGRAMY\Flvto Youtube Downloader.lnk C:\Users\Marek\Desktop\PROGRAMY\Malwarebytes Anti-Malware.lnk C:\Users\Marek\Documents\Inne\Modelarstwo\TurboCAD 2D v6.5.lnk C:\Users\Marek\Downloads\*-dp*.exe C:\Windows\SysWOW64\findit.xml Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sp_rssrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bartuss23 Opublikowano 3 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2015 Wszystko zrobione zgodnie z instrukcją. Wszystko już jest dobrze ? Pozdrawiam Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Listopada 2015 Zgłoś Udostępnij Opublikowano 4 Listopada 2015 (edytowane) Wszystko wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [Flvto Youtube Downloader] => "C:\Users\Marek\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\Windows\system32\npDeployJava1.dll [2012-06-24] (Oracle Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.16)" /f CMD: del /q C:\dvmexp.idx RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marek\AppData\Local\Flvto Youtube Downloader RemoveDirectory: C:\Users\Marek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj, a po tym Usuń. Powstanie folder i dostarcz log wynikowy z folderu C:\AdwCleaner Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi