greeg Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Witam.Mam problem z otwieraniem się bez mojej ingerencji nowe strony w przeglądarce Firefox. Nie znam się w tak zaawansowanej sprawie jak szukanie niewłaściwych wpisów . źródło zainfekowania : hxxp://mp3pm.info/s/f/n+to+trauma+worakls+remix/ aktywuje się podczas pobierania mp3 (prawdopodobnie) otwierają sie strony typu : hxxp://offer.alibaba.com/catalogs/products/CID16?alpsm=true&match=rule&prior=medium&ruleid=1016001&rank=solelp&tv=1&imp=5b1aop1a5ufqmjqt9ca&xp=vBGyhwZnj-7MxYrtjP-C9ZpKVQD-GZFtFH-dLmQHLDne-yLGjIBbt7dyZJywHWWPsZcMGT4Zbu6zqHBxp2xoeqjqbwIicSxXSIeRICH_5Vo&pid=381901&td=Propellerads&cv=147001&aff_id=182463618&ct=1&size=000_000&cn=PL&an=1000000046001&bm=cpa&tp1=135350855772&src=safProszę o pomoc. Bardzo dziękuję za pomoc. GMER.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Posty połączyłam, ale już teraz odpowiadaj w nowym poście. Stosowałeś już dużo skanerów: AdwCleaner, ComboFix oraz wątpliwy skaner z czarnej listy SpyHunter. Na dodatek Firefox był tu co dopiero resetowany oraz reinstalowany. Czy na pewno po tych akcjach problem nadal występuje? W raportach nie widać żadnych oczywistych oznak opisywanego zjawiska, pomimo że są pewne szczątki adware, choć zastanawia mnie ustawiona konfiguracja proxy unstopp.me. Czyli na teraz do wyczyszczenia proxy, wpisy odpadkowe i puste: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player 12.1, Java 8 Update 31, Splashtop Connect for Firefox, Splashtop Connect IE, Windows Media Player Firefox Plugin. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 05837205; "C:\Windows\system32\rundll32.exe" "c:\progra~3\browse~1\BrowserfasterSvc.dll",service S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-05] () S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S2 AODDriver4.01; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 ATICDSDr; \??\C:\Users\greeg\AppData\Local\Temp\ATICDSDr.sys [X] S3 dump_wmimmc; \??\E:\gry\NCSoft\Launcher\lineage2\system\GameGuard\dump_wmimmc.sys [X] S3 Frost_8_9_1_26; \??\E:\gry\LineageII PL\Frost\frost.sys [X] S3 Frost_9_12_1_3; \??\D:\gry\LineageII EU\Frost\frost.sys [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP1\WNt500x64\Sandra.sys [X] Startup: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\happy-new-year-pol-6080635.lnk [2015-04-01] Task: {1F7D4D60-AE4E-4345-A5F3-978A12A89B29} - System32\Tasks\{4C6D8442-2589-41EF-9B70-FA12BCBA98FD} => pcalua.exe -a G:\Freedom\Windows\98se-XP\setup.exe -d G:\Freedom\Windows\98se-XP Task: {2FEFCEF4-7AD6-46FE-AB84-4A424FB33FC9} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: {7B882036-178F-44F3-9559-CD475C424E9E} - System32\Tasks\{3731EC66-21EB-4B74-8399-30E486693067} => pcalua.exe -a "C:\Program Files (x86)\SimpleFiles\Uninstall.exe" Task: {9069A225-2E1E-4D10-AD0E-EAA6BE8A8277} - System32\Tasks\{FD044FBD-08A1-4ABF-B679-2861F21CE4FC} => pcalua.exe -a C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555\FFdshow-Tryouts-20061116-rev555.exe -d C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555 Task: {A641CB63-90FD-44CE-9C43-F858850E630C} - System32\Tasks\Sk-Enhancer-S-545697201 => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exe Task: {FCE080F3-797E-4B00-A3B7-7DB03460B8A4} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Sk-Enhancer-S-545697201.job => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exeG/schedule /profile c:\programdata\softsafe\sk-enhancer\545697201.ini HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShellIconOverlayIdentifiers: [AcronisSyncError] -> {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncInProgress] -> {00F848DC-B1D4-4892-9C25-CAADC86A215D} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncOk] -> {71573297-552E-46fc-BE3D-3DFAF88D47B7} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKU\S-1-5-21-2241001177-833195801-3504404126-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://houmpage.com/?src=hp&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {73B8C233-6941-4733-8451-9AE80A13752F} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {C896B776-4694-4b7a-ACCD-7132EC9720B9} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {cf34d395-9ff1-49a0-98a5-8db1636431b1} URL = hxxp://houmpage.com/search/?src=ds&q={searchTerms}&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 FF Plugin-x32: @esn/esnlaunch,version=1.104.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.116.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.122.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=2.1.3 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=3 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=9 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{E8AE0286-9A63-4F4F-B479-0E4E4A2A8EB5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\greeg\AppData\Local\dt.dat C:\Users\greeg\AppData\Roaming\Enigma Software Group C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\I-Doser v4 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModPack by DjVirusPL LITE 0.8.9 v6 - No Hitboxes C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM 5.0.1-test3 conf by DjVirusPL 0.8.9 v5 C:\Users\greeg\Desktop\Rangi TeamSpeak3\Rangi TeamSpeak3\ikony ts\icon\ikony\ikony — skrót.lnk C:\Users\greeg\Desktop\XBOX\JungleFlasher.exe — skrót.lnk C:\Windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\4game-service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MouseDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent" /f CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy nadal występują. Odnośnik do komentarza
greeg Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Powiem Wielkie Dziękuję narazie jest OK, nawet komputer szybciej sie uruchamia (stopował przy łączeniu się z siecią lokalną) Problem występował w obecnej chwili po zastosowaniu "instrukcji" ustąpił. Sory zagapiłem się i dałem odpowiedź. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Skoro problem ustąpił po Fixie, to wygląda na to, że problemem było jednak to wspominane przeze mnie proxy. Brakuje pliku Fixlog, który powstał podczas usuwania, dołącz go - jest w tym samym katalogu skąd uruchamiałeś FRST. Odnośnik do komentarza
greeg Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Znalazł się, zapomniałem. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wszystko pomyślnie wykonane, zgłoszony problem rozwiązany. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\Splashtop RemoveDirectory: C:\Users\greeg\AppData\Roaming\Splashtop RemoveDirectory: C:\Users\greeg\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\erdnt CMD: del /q C:\Users\greeg\Desktop\1es68vz9.exe CMD: del /q C:\Users\greeg\Desktop\Addition.txt CMD: del /q C:\Users\greeg\Desktop\Fixlog.txt CMD: del /q C:\Users\greeg\Desktop\FRST.txt CMD: del /q C:\Users\greeg\Desktop\GMER.txt CMD: del /q C:\Users\greeg\Desktop\Shortcut.txt CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\zip.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Pokaż wynikowy fixlog.txt. Dopiero po jego pokazaniu: 2. Usuń z Pulpitu folder FRST, następnie jeszcze zastosuj DelFix. 3. Do aktualizacji także systemowy Internet Explorer, mimo że z niego nie korzystasz. Odnośnik do komentarza
greeg Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Fixlog. Jeszcze raz dziękuję i szacunek dla Ciebie. Fixlog.txt DelFix.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wszystko wykonane. Możesz usunąć plik C:\delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi