Nostradamus Opublikowano 11 Listopada 2015 Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Witam. Ściągnąłem program z dobreprogramy i mimo że uważałem co i jak klikam nie ustrzegłem się nieproszonych gości. Mystartsearch,startsurf - po uruchomieniu chrome od razu otwierały się 4 karty z wymienionymi wcześniej stronami. Pousuwałem wszystko co znalazłem,odinstalowałem. Używałem Malwarebyte, AdwCleaner, Rogue Killer,SpyHunter, Hitman Pro , Każdy z nich znajdował śmieci i usuwał. Niby nie otwierają się już te strony ale podczas przeglądania jakiejkolwiek innej,po kliknięciu gdziekolwiek otwierają się dziadostwa gdzie niby trzeba wpisać swój numer telefonu itd. Poza tym malwyre co chwilę wyłapuje coś i komunikuje blokadę strony niepożądanej . Załączam wymagane logi. Addition.txt FRST.txt ggggmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2015 Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Ten obrazek jest strasznie mały i nic nie widzę. Pro forma podmień załącznik. Z raportów jest wiadomo co się dzieje. W Google Chrome został zainstalowany przemocą EasyCalendar, który produkuje reklamy. Prócz tego są różne inne odpadki adware oraz wpisy puste którymi się zajmę. Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj: stare wersje Java 7 Update 71, Mozilla Firefox 35.0 (x86 pl), Mozilla Maintenance Service, program posługujący się platformą monetyzacji OpenCandy SnapPea oraz wątpliwy skaner SpyHunter. Doczyszczanie po zainfekowanym Firefox będzie w poniższym skrypcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-612798577-3822474249-2596022128-1000\...\MountPoints2: {4722c330-632f-11e3-8083-00221589ebbb} - F:\Startme.exe BootExecute: autocheck autochk * bootdelete S2 Crypkey License; crypserv.exe [X] S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X] Task: {095AE438-701D-42ED-BB75-F58D51C4F555} - System32\Tasks\{12F4263F-55F3-42DA-9E90-A62938227B3B} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {1C588E06-9820-4ADC-A334-6BCAC4EA9420} - System32\Tasks\{1438124C-7BCF-4FF7-843C-2EA448D73A34} => pcalua.exe -a "E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee\sPoLszczenie ACDSee Pro 3.0.475.PAWJ-ShK.exe" -d E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee Task: {1EFC9D87-5FD1-49D1-A4D0-72061EAEC302} - System32\Tasks\EDWdrvBC7nxHAK6nkILwXTK => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: {24013FEA-BC3D-4A89-B666-8B1F65D60F39} - System32\Tasks\{D456FA87-8349-4611-A028-B384936FEE7F} => H:\setup.exe Task: {4A0E5B4B-7D45-41CE-B4D3-16E38A958AE7} - System32\Tasks\{FEBACA02-ADF1-4A19-A21C-7162D0E89545} => pcalua.exe -a E:\Pobrane\mp210swin101ea24.exe -d E:\Pobrane Task: {5F445052-B07D-453A-BB79-59B99D819B24} - System32\Tasks\RNfYTxh => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe Task: {70B44171-B880-4C28-A299-7CA05E5115C8} - System32\Tasks\{A918531F-9FE0-4549-9DC3-0572FE17AE98} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {73FAB1C7-2B0D-436A-A132-E8FFB9B6F262} - System32\Tasks\{FED5604B-CFD8-4B18-BE13-6D55F2AD97A2} => pcalua.exe -a E:\Pobrane\mp210swin64101ea24.exe -d E:\Pobrane Task: {99EEEDEC-1B9F-4774-BB49-95569C1EB399} - System32\Tasks\{19F33986-5307-44AD-A2BD-6F6D8189439B} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun Task: {9CC011FA-37A5-4654-8B31-BA4FD6A09368} - System32\Tasks\{F736E8F6-0B04-4201-ABBD-564C95F95AA7} => pcalua.exe -a E:\Pobrane\samurize_1.64.3_2.exe -d E:\Pobrane Task: {B55606C1-03E2-4028-9D36-77B3D3493FF9} - System32\Tasks\{4A4037BE-58CF-4E23-8906-A65889D19609} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {D3C76578-422F-4BEC-824C-F77E85F35FC0} - System32\Tasks\{903791A1-7891-48D5-903B-C4B1A0EB62FB} => pcalua.exe -a E:\Pobrane\10-2_legacy_vista32-64_dd_ccc.exe -d E:\Pobrane Task: {FC848E6E-EE5A-4873-B62D-A0091A056EE0} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: C:\Windows\Tasks\EDWdrvBC7nxHAK6nkILwXTK.job => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: C:\Windows\Tasks\RNfYTxh.job => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gmail Notifier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ophcrack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Samsung Story Album Viewer\Samsung Story Album Viewer.lnk C:\Users\nostra\AppData\Local\Temp*.html C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\nostra\AppData\Local\Mozilla C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK C:\Users\nostra\AppData\Roaming\RNfYTxh C:\Users\nostra\AppData\Roaming\Mozilla C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Samsung Story Album Viewer.lnk C:\Users\nostra\Desktop\Continue Avidemux installation.lnk C:\Users\Public\Desktop\ophcrack.lnk C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\pss\Client Default.lnk.Startup C:\Windows\pss\wandoujia_helper.lnk.Startup C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Client Default.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wandoujia_helper.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ToolbarTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xwidget" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj stary Ultimate YouTube Downloader. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Nostradamus Opublikowano 11 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Obrazek tylko poglądowy. Wyskakiwało takich mnóstwo co sekundę. Wszystko wykonane. Logi załączone. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2015 Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Wszysto pomyślnie przetworzone, problem powinien ustąpić. Ostatni skrypt do FRST - do Notatnika wklej: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\ProgramData\RogueKiller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Nostradamus Opublikowano 12 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Problem wydaje się być usunięty Bardzo dziękuję . Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2015 Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Fix pomyślnie wykonany. Skasuj E:\Pobrane\frst. Następnie dla pewności jeszcze DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. To tyle. Odnośnik do komentarza
Rekomendowane odpowiedzi