Bard91 Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 (edytowane) mam problem z tym samym, prosiłbym o pomoc Edytowane 12 Grudnia 2015 przez picasso Raporty usunięte. //picasso Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzielone w osobny. Ponadto, niepełny zestaw obowiązkowych logów, brak FRST Shortcut. Proszę wrócić do konfiguracji i uzupełnić brak: KLIK. Odnośnik do komentarza
Bard91 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 poprawione Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Nieudane logi z pierwszego posta usuwam, odnoszę się oczywiście do nowych. Następuje działania do wdrożenia: 1. Odinstaluj starą wersję Java SE Development Kit 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Dark Orbit.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Dark Orbit\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mahjongg Dark Dimensions.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - Mahjongg Dark Dimensions\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\World of Warcraft.lnk -> C:\Program Files (x86)\WildTangent Games\Web Link - World of Warcraft\launcher.exe (WildTangent) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S HKU\S-1-5-21-3778980704-3545967183-931079211-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} SearchScopes: HKU\S-1-5-21-3778980704-3545967183-931079211-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S&q={searchTerms} BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Halina\AppData\Roaming\Mozilla\Firefox\Profiles\h48fcbie.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-09] StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449833397&z=2ff8a7f138abb63b1fd056cgbz1zbt4b5cbcfc9bfe&from=ient07021&uid=TOSHIBAXMQ01ABD075_543FS0Y1SXX543FS0Y1S Task: {C7AA5242-396C-4F30-85A7-28045E9AE9D8} - System32\Tasks\PFExe => C:\Users\Halina\AppData\Local\PriceFountain\pricefountain.exe HKLM\...\Run: [] => [X] HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch HKLM-x32\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguix.exe" /fmw.trayonly HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3778980704-3545967183-931079211-1001\...\RunOnce: [Application Restart #2] => C:\Users\Halina\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (dane wartości zawierają 551 znaków więcej). R2 IhPul; C:\Users\Halina\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com) S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\WarThunder DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvgUi /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset RemoveDirectory: C:\Users\Halina\AppData\Roaming\TSv RemoveDirectory: C:\Users\Halina\AppData\Roaming\WarThunder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dragons of Atlantis.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Edgeworld.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FarmVille 2.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Groupon.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Halina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl8.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Bard91 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Dodaje pliki Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Wszystko zgodnie z planem, hijacker usunięty. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Bard91 Opublikowano 13 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Proszę Fixlog.txt AdwCleanerS5.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2015 Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Wyczyść dane przeglądania > wybierz "Od samego początku" i zaznacz wszystkie pozycje z wyjątkiem haseł > Wyczyść dane przeglądania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\SweetLabs App Platform DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4E8B1900-34DE-E742-E6A7-606519AC19B7} DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Bard91 Opublikowano 13 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Proszę Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2015 Zgłoś Udostępnij Opublikowano 14 Grudnia 2015 Kończymy: 1. Przez SHIFT+DEL (omija Kosz) usuń FRST i jego logi z folderu Y:\Nowy folder. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Czego unikać, by ograniczyć podobne nieszczęścia w przyszłości: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi