bratchomika Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Coś chyba dziecko zainstalowało, chyba czas zwiększyć kontrolę nad nią przy kompie. Bo już prawie mieszka na youtubie. Być może to tez ja choć staram się uważać gdzie bywam. Wraz z pojawieniem się yoursite123 na pulpicie pojawil się Picexa i żadne z domowników nie tego instalowało. Usunąć z panelu sterowania sie nie dało ale chyba SpyHunter go zablokował gdyż wyskoczyło mi jego okienko z nazwą. Prosze o pomoc z góry dziękuję. Addition_11-12-2015_16-29-50.txt FRST_11-12-2015_16-29-50.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum. Bieżące logi powstają tam skąd uruchamiasz FRST, czyli w tym przypadku C:\Users\Kinga\Downloads. W celu "rozwiązania" problemu został zainstalowany lewy skaner-naciągacz SpyHunter. Ponadto przeinwestowany układ antywirusów, aż dwa równoległe uruchomione. To za dużo! Akcje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starsze wersje i lewy skaner Adobe AIR, Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 12.0, Java 7 Update 71 (64-bit), Java 7 Update 79, SpyHunter. Wybierz także który z nich ma być usunięty: Ad-Aware Antivirus lub Baidu Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Kinga\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) R2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [731784 2015-12-09] (Taiwan Shui Mu Chih Ching Technology Limited) R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] R2 WdsManPro; C:\ProgramData\2WMiniPro2\WMiniPro.exe [302592 2015-11-30] (DTools LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449824751&z=a070925003a15e01b412f83gazfz1t0bfoazcm6z2c&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX Edge HomeButtonPage: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1442818244&z=f5b4d317fe221ba9ab66741g3z8z9o5bbg3b2odwcg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\nra5u0rv.default\extensions\faststartff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\157sckfb.default-1428305416254\extensions\yahooprotected@gmail.com => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-996966027-1595442658-2413617871-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-996966027-1595442658-2413617871-1001\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL13/178 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449036378&z=ecaadc7de49bc924f8fd26fg3z5zdt0e7c5q1c7beg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449036378&z=ecaadc7de49bc924f8fd26fg3z5zdt0e7c5q1c7beg&from=ient07021&uid=HitachiXHTS545050A7E380_TE85113Q29B1MR29B1MRX&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF SearchScopes: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-996966027-1595442658-2413617871-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF HKLM\...\Run: [] => [X] HKU\S-1-5-21-996966027-1595442658-2413617871-1001\...\MountPoints2: {346bc93b-495d-11e5-bed8-6c3be5f73402} - "F:\AutoRun.exe" BootExecute: autocheck autochk * sh4native Sh4Removal Task: {080D40B9-5E31-42B0-BCF7-CC7AB9E084DC} - System32\Tasks\{67424D53-A244-41BE-9F38-E7465E420BDB} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {0838620A-000D-4DA3-90E0-8FC0040FC283} - System32\Tasks\{4A65F31F-B51A-47E5-B38C-84E023253525} => pcalua.exe -a "C:\Users\Kinga\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C\Microsoft Office 2010 Packages\uninstaller.exe" -c /Uninstall /NM="Microsoft Office 2010 Packages" /AN="0I0M0D1F2W1G1I1F1T1Q1P1C" /MBN="Microsoft Office 2010 Packages" Task: {0CB4D8E7-742C-492D-8865-0E92E07219E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {16F1E6E6-D208-4420-AC52-B4671838459A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {19FF550D-6800-490D-9E44-BAFF4CD4795A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {219B870D-4B75-41EA-A693-ED1C74BA453E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {282A81FA-7D6D-440A-AEBD-E4D6E2CB9100} - System32\Tasks\{B6F69843-C909-402C-88FC-18F31E66D638} => Firefox.exe hxxp://ui.skype.com/ui/0/7.5.64.102/pl/abandoninstall?page=tsProgressBar Task: {37A52E26-E8E9-4898-B466-E3ADCE7EFB88} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {46B06F2E-CBA3-4639-9BE5-0BBCB0AA8932} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4807D6CF-B5ED-40FA-AD22-EC715154D226} - System32\Tasks\{2E39F39B-4DEB-46C8-B267-8384ED6A3D6F} => Firefox.exe hxxp://ui.skype.com/ui/0/7.13.0.101/pl/abandoninstall?page=tsProgressBar Task: {525D0721-BD5A-4F5D-87F9-90042AF63C2C} - System32\Tasks\{6AD76E91-99B1-40D5-B3E8-DFF8304107FF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.0.102/pl/abandoninstall?page=tsProgressBar Task: {538B39C0-61D8-4626-91DA-0E4F0D5ACCEE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5D306454-B865-4F11-95C8-4DD9EDBB591C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7AE40CDE-29E9-49EF-A2FF-A11C86E4B818} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {7BC5E866-3CB5-4B48-B7B8-C1A39BF297A9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9A65C296-1F84-4150-808C-00D51B35E3E3} - System32\Tasks\{A1146FE8-D321-401E-A299-14BA462BF369} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.6.0.105&LastError=12002 Task: {A97A4198-0F0A-43B0-95AA-4CD98A30E47E} - System32\Tasks\{0456FC49-E446-464B-A1BA-320251A30F4F} => pcalua.exe -a C:\Users\Kinga\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {B7581A53-3192-4A44-B222-19D90A363791} - System32\Tasks\{7A991B6E-5337-4E3C-B4BA-8DBBDA4016D9} => Firefox.exe hxxp://ui.skype.com/ui/0/7.6.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {D56813A2-FE65-48BC-A310-1F5B42E18A91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D8894160-37D8-432F-86A1-5EC7EA10D3E1} - System32\Tasks\{C60132EA-3BA0-4E3A-8540-83C3D11D342E} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.6.0.105&LastError=12002 Task: {DB119BF1-0F29-4B58-9264-8AF96F684AAD} - System32\Tasks\{A7FEC81D-122F-4C7E-B45F-D269C1CF3CBB} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.0.102/pl/abandoninstall?page=tsProgressBar Task: {E85AE5E9-F4C0-4B60-BD25-E4391EF4BA7E} - System32\Tasks\{B259622C-302E-490B-AE3C-5EEFFE7C9DBA} => pcalua.exe -a C:\Users\Kinga\Downloads\forge-1.7.2-10.12.2.1121-installer-win.exe -d C:\Users\Kinga\Downloads Task: {E8ACFF89-B1B1-4725-A8B3-B76C3212F5E0} - System32\Tasks\{5C899B0C-6F6F-4BCE-97CE-345214A25F69} => Firefox.exe hxxp://ui.skype.com/ui/0/7.1.59.105/pl/abandoninstall?page=tsMain Task: {F6D76E06-0212-4745-9244-0580E4B97B82} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\2WMiniPro2 RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\ProgramData\UWMiniProU RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\Users\Kinga\AppData\Local\Microsoft\Windows\GameExplorer\{4D5D7E46-058A-41B4-AA44-4E6BF4F8C22B} RemoveDirectory: C:\Users\Kinga\AppData\Roaming\Picexa Viewer RemoveDirectory: C:\Users\Kinga\AppData\Roaming\TSv RemoveDirectory: C:\Users\Kinga\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Kinga\Downloads\SpyHunter 4.17.6.4336 RemoveDirectory: C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Strogino CS Portal\Counter-Strike Source\Counter-Strike Source.lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa (2).lnk C:\Users\Kinga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\obrazy.lnk C:\Users\Kinga\Desktop\AKINGA\TATA\Counter-Strike Source.lnk C:\Users\Kinga\Desktop\Linux\ZDJĘCIA\GRY\HCA - Brzydkie Książątko.lnk C:\Users\Kinga\Downloads\SpyHunter*.* C:\Users\Public\Desktop\Picexa.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bratchomika Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Zrobione, raczej wszystko co miałem zrobić. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Problem rozwiązany, wszystko wykonane, ale jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\SFK CMD: del /q C:\spyhunter.fix CMD: del /q C:\WINDOWS\SysWOW64\pl.html CMD: del /q C:\WINDOWS\SysWOW64\sh4native.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
bratchomika Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Wykonano AdwCleanerS1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Uruchom ponownie AdwCleaner, wybierz sekwencję opcji Skanuj + Usuń, dostarcz wynikowy log. Odnośnik do komentarza
bratchomika Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Przyznam szczerze że to skiepsciłem nicisnełem X notatnika nim spojżałem na nazwę pliku ale w związku z tym że pierwszy log mial w nazwie s1 to ten właściwy bedzie miał albo s2 albo c1 więc wysyłam oba na wszelki wypadek AdwCleanerC1.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Przecież w podanym przeze mnie opisie AdwCleaner jest napisane jakie oznaczenia mają logi... Zbędny usuwam. Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania czego unikać: KLIK. Odnośnik do komentarza
bratchomika Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Dziękuję za pomoc, nie omieszkam podziekować dotacją. Uważam że stworzyłaś tu coś co przywraca wiare w ludzi. Aż przypominają się czasy początku "internetów" gdy wszyscy sobie pomagali nie szukając szybkiego zarobku na użytkownikach. Dział czego unikać przeczytałem wczoraj:) I na koniec mam jeszcze mieszane uczucia, z jednej strony nie chciał bym tu wracać ale z drugiej będę tęsknić za pełną profesjonalizmu pomocą Pozdrawiam i dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi