ScOOffield1978 Opublikowano 30 Listopada 2015 Zgłoś Udostępnij Opublikowano 30 Listopada 2015 Witam serdecznie i proszę o pomocPo jakiejś aktualizacji Win Media Playera zassało mi się jakieś badziewie i we wszystkich przeglądarkach otwiera mi okienka z reklamami w postaci nowych kart jak i banerów Uzywałem: Nortona, MAM, Dr Weba i kilku innych - trochę pomogło ale problem dalej istnieje - zasyłam logiZ góry dziękuje za pomoc GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2015 Zgłoś Udostępnij Opublikowano 30 Listopada 2015 Na przyszłość: by poprawić post, opcja Edytuij > Użyj pełnego edytora. Posty skleiłam doprowadzając do oczekiwanej początkowo formy. Widać tu różne odpadki adware, ale to nie powinno generować opisywanego efektu. Podejrzenia budzi modyfikacja serwerów DNS - ustawiony adres 104.197.191.4 (-> 4.191.197.104.bc.googleusercontent.com). Akcje wstępne do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader X (10.1.6) - Polish, Java 7 Update 5 (64-bit) oraz Windows Essentials Media Codec Pack 4.0 [64-Bit] (strona mediacodec.org jest zablokowana przez Google ze względu na dystrybucję szkodliwego oprogramowania). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po odinstalowanym DivX VC80CRTRedist - 8.0.50727.6195 > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 downlsad; C:\Users\Artur\AppData\Local\Zottechi.exe [46592 2015-11-26] () [File not signed] S2 1a34a8e0; "C:\Windows\system32\rundll32.exe" "c:\progra~2\SNSvc.dll",service S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Xesmitge => ""="service" HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [HTC Home Widget] => C:\Program Files\HTC Home\HTCHome.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [ChicaPasswordManager] => "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\...\RunOnce: [Adobe Speed Launcher] => 1448881532 HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {476F56CA-80B3-46D0-AD77-C1663359EC66} - \SN.Booster-S-1532781606 -> No File Task: {650703A3-D789-491B-A84A-D337BD5AF22E} - System32\Tasks\{1FC95851-41CB-4A38-AD8E-0BB1249B0C33} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/8980 Task: {9F15FC93-DAEF-4A69-9657-4AE785788497} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {A720DE49-D3A2-4BA6-BC8F-B3F308A5108A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe CHR HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Artur\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2014-03-14] CHR HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.5.15 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.5.15 HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3076302344-2742556548-4197340800-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm Toolbar: HKU\S-1-5-21-3076302344-2742556548-4197340800-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web C:\Program Files (x86)\DivX C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\AVAST Software C:\ProgramData\AVG C:\ProgramData\DivX C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Anti Keylogger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GRemote C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medieval 2 Total War Gold C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive\Hearts of Iron III Gold C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\uninst C:\Users\Artur\AppData\Local\Zottechi.exe C:\Users\Artur\AppData\Local\Zottechi.exe.config C:\Users\Artur\AppData\Local\Avg C:\Users\Artur\AppData\Local\Opera Software C:\Users\Artur\AppData\Local\Tempfolder C:\Users\Artur\AppData\Local\Microsoft\Windows\GameExplorer\{6F2514B1-2D81-45FD-AFF8-55E0108B06A7} C:\Users\Artur\AppData\Local\Mozilla\Firefox C:\Users\Artur\AppData\LocalLow\Company C:\Users\Artur\AppData\Roaming\ex_log.txt C:\Users\Artur\AppData\Roaming\AVG C:\Users\Artur\AppData\Roaming\DivX C:\Users\Artur\AppData\Roaming\GoldenGate C:\Users\Artur\AppData\Roaming\Opera Software C:\Users\Artur\AppData\Roaming\WarThunder C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Sparta - War of empires.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarthMod Empire.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarthMod Empire C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Third Age - Total War 3.0 (Part 1of2) C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Third Age - Total War 3.0 (Part 2of2) C:\Users\Artur\AppData\Roaming\Mozilla\Firefox C:\Users\Artur\Desktop\Third Age - Total War.lnk C:\Users\Administrator C:\Users\ASPNET C:\Users\Guest C:\Users\HomeGroupUser$ C:\Users\UpdatusUser C:\Windows\system32\XesmitgeOff.ini C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Doctor Web C:\Windows\SysWOW64\history.dat C:\Windows\SysWOW64\Xesmitge.ini C:\Windows\SysWOW64\XesmitgeOff.ini Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wyłącz rozszerzenia Nortona (sponsorowane przez Ask). Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware sweet-page.com. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną wyszukiwarkę Google, następnie skasuj z listy NortonSafe (sponsorowany przez Ask). Ustaw też wybraną przeglądarkę jako domyślna, bo obecnie jest ustawiona nie istniejąca już w systemie Opera. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problem reklam nadal występuje. Odnośnik do komentarza
ScOOffield1978 Opublikowano 30 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2015 Jesteś wielka Narazie wszystko wskazuje na to, że jest ok jupppiii (3 dni się z tym pitoliłem) Załączam pliki o które prosiłaś P.S Kiedy moge włączyć synchronizację google? Czy można logować sie na You Tuba? Czy wywalić katalog FRST? Pozdrawiam serdecznie - strona do ulubionych i wspomaganych Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2015 Zgłoś Udostępnij Opublikowano 30 Listopada 2015 Czy na pewno wykonałeś poniższą akcję dla wszystkich połączeń? Nadal widzę w rejestrze aż trzy rekordy z poprzednim podejrzanym serwerem DNS. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. Kiedy moge włączyć synchronizację google? Czy można logować sie na You Tuba? Czy na pewno wykonałeś opcję 2 (Zatrzymanie synchronizacji i wyczyszczenie danych (zresetowanie synchronizacji)) a nie 1 (tylko "Wylogowanie się z Chrome")? Czy wywalić katalog FRST? Czyszczenie po używanych narzędziach będzie na szarym końcu. Jeszcze nie teraz. Odnośnik do komentarza
ScOOffield1978 Opublikowano 30 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2015 No więc tak: 1. Co do ustawień sieciowych to mam dwa - jedno przewodowe i drugie WIFI (wyłączone) sprawdzałem na obu zgodnie z instrukcją i mam wszystko ustawione na automatyczne pobieranie bo tak miałem kiedyś a już wcześniej za twoją radą wykasowałem jakiś lipny adres DNS który tam się pojawił i przestawiłem na automat. Jak sięgam pamiecią to zawsze tam miałem ustawiony automat. 2. Co do chroma. To powinienem się zalogować na konto google i wyłączyć synchro czy lepiej nie? Wcześniej działałem z oznakami paniki i niepamiętam czy wyłączyłem synchro P.S Mam kompa podłączonego kablem do routera - inne użadzenia podłączone w sieci domowej nie wykazują objawów infekcji Odnośnik do komentarza
picasso Opublikowano 1 Grudnia 2015 Zgłoś Udostępnij Opublikowano 1 Grudnia 2015 1. Co do ustawień sieciowych to mam dwa - jedno przewodowe i drugie WIFI (wyłączone) sprawdzałem na obu zgodnie z instrukcją i mam wszystko ustawione na automatyczne pobieranie bo tak miałem kiedyś W związku z tym po prostu usunę pozostałości z rejestru za pomocą skryptu FRST. 2. Co do chroma. To powinienem się zalogować na konto google i wyłączyć synchro czy lepiej nie? Wcześniej działałem z oznakami paniki i niepamiętam czy wyłączyłem synchro Tak, zalogować się i wyczyścić zsynchronizowane dane. Cel tu jest taki, by się pozbyć zapamiętanej strony sweet-page.com w tych danych, bo to będzie wracać na lokalne Google Chrome z serwera. Mam kompa podłączonego kablem do routera - inne użadzenia podłączone w sieci domowej nie wykazują objawów infekcji Tu nie było modyfikacji DNS na poziomie routera (w tej sytuacji wszystkie urządzenia dziedziczyłyby ustawienia), tylko modyfikacja po stronie tego konkretnego Windows. Poprawki. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{1F620D6B-0E3F-4915-8977-141F7C2BC5BA}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{A2BE7100-E798-44A5-B7C2-AB657945A56D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F9DF8245-4F0A-49AE-BCB8-E571305B69D4}: [NameServer] 104.197.191.4 RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\DrWeb Archive RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Artur\Doctor Web Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
ScOOffield1978 Opublikowano 2 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2015 Hej. Przepraszam, że tak długo ale praca Zalogowałem się na 2 konta google i zresetowałem synchro zgodnie z instrukcją - następnie się wylogowałem. Można już się zalogować ponownie? Zrobiłem tez co radziłaś w FRST W załączniku plik fixlog Proszę o rzucenie okiem i z góry dziękuje Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2015 Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 Na zakończenie: 1. Dokasuj folder odpadkowy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Essentials Codec Pack. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Nadal widzę starą instalację Java 7 Update 5 (64-bit), która miała być odinstalowana. To nadal do wykonania. Zalogowałem się na 2 konta google i zresetowałem synchro zgodnie z instrukcją - następnie się wylogowałem. Można już się zalogować ponownie? Jeśli komunikat zapewniał, że dane już zostały wyczyszczone. Odnośnik do komentarza
ScOOffield1978 Opublikowano 3 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 Ostatnie pytanko: Jak chce ściągnąć DelFixa to norton krzyczy, że to lipa i kasuje go Moge go wyłączyć ale wolę się spytać bo teraz wszystkiego się boje P.S Reszte zrobiłem bez problemów P.S 2 Oczywiści program ściągam z twojego linka Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2015 Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 Nie tylko Norton blokuje pobieranie DelFix. Tymczasowo zdeaktywuj Nortona. Odnośnik do komentarza
ScOOffield1978 Opublikowano 5 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 Witam Delfix zrobiony Ślicznie dziękuje za pomoc i nie zapomnę o dotacji Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi